กระดานข่าวความปลอดภัยของ Android—มีนาคม 2022

ตีพิมพ์ 7 มีนาคม 2022 | Updated 5 เมษายน 2022

ใน Android Security Bulletin มีรายละเอียดของการรักษาความปลอดภัยที่มีผลต่อช่องโหว่อุปกรณ์ Android ระดับแพทช์การรักษาความปลอดภัยของ 2022/03/05 หรือที่อยู่ภายหลังทั้งหมดของปัญหาเหล่านี้ เรียนรู้วิธีการตรวจสอบระดับโปรแกรมปรับปรุงความปลอดภัยของอุปกรณ์ให้ดูที่ การตรวจสอบและอัปเดตเวอร์ชัน Android ของคุณ

พาร์ทเนอร์ของ Android จะได้รับแจ้งปัญหาทั้งหมดอย่างน้อยหนึ่งเดือนก่อนที่จะตีพิมพ์ แพทช์รหัสที่มาปัญหาเหล่านี้ได้รับการเผยแพร่ไปยัง Android โครงการ Open Source (AOSP) พื้นที่เก็บข้อมูลและการเชื่อมโยงจากข่าวนี้ ข่าวนี้ยังรวมถึงการเชื่อมโยงไปแพทช์นอก AOSP

รุนแรงที่สุดของปัญหาเหล่านี้เป็นช่องโหว่ความปลอดภัยที่สำคัญในองค์ประกอบของระบบที่อาจนำไปสู่การเพิ่มระยะไกลของสิทธิพิเศษที่มีสิทธิ์ดำเนินการใด ๆ เพิ่มเติมที่จำเป็น การ ประเมินความรุนแรง จะขึ้นอยู่กับผลกระทบที่การใช้ประโยชน์จากช่องโหว่ดังกล่าวอาจจะมีอุปกรณ์ที่ได้รับผลกระทบสมมติว่าแพลตฟอร์มและบริการบรรเทาถูกปิดเพื่อการพัฒนาหรือถ้าข้ามประสบความสำเร็จ

อ้างถึง Android และ Google Play บรรเทาป้องกัน ส่วนสำหรับรายละเอียดเกี่ยวกับ Android คุ้มครองแพลตฟอร์มการรักษาความปลอดภัย และ Google Play ป้องกันซึ่งการปรับปรุงการรักษาความปลอดภัยของแพลตฟอร์ม Android

Android และ Google บรรเทาบริการ

นี่คือบทสรุปของการบรรเทาที่มีให้โดย แพลตฟอร์ม Android การรักษาความปลอดภัย และการบริการการคุ้มครองเช่น Google Play ป้องกัน ความสามารถเหล่านี้ช่วยลดโอกาสที่ช่องโหว่ความปลอดภัยสามารถใช้ประโยชน์ประสบความสำเร็จบน Android

  • การใช้ประโยชน์สำหรับหลายประเด็นบน Android ทำยากมากขึ้นโดยการเพิ่มประสิทธิภาพในการรุ่นใหม่ของแพลตฟอร์ม Android เราขอแนะนำให้ผู้ใช้ทุกคนในการปรับปรุงให้เป็นรุ่นล่าสุดของ Android ที่เป็นไปได้
  • ทีมรักษาความปลอดภัยของ Android แข็งขันตรวจสอบการละเมิดผ่าน Google Play ป้องกัน และเตือนผู้ใช้เกี่ยวกับ การ ประยุกต์ใช้งานที่อาจเป็นอันตราย Google Play ป้องกันถูกเปิดใช้งานบนอุปกรณ์ที่มี บริการของ Google มือถือ และเป็นสิ่งสำคัญโดยเฉพาะอย่างยิ่งสำหรับผู้ใช้ที่ติดตั้งแอปจากด้านนอกของ Google Play

การรักษาความปลอดภัย 2022/03/01 รายละเอียดช่องโหว่ระดับแพทช์

ในส่วนด้านล่างที่เรามีให้รายละเอียดของแต่ละช่องโหว่ความปลอดภัยที่ใช้กับระดับ 2022/03/01 แพทช์ ช่องโหว่ที่จะถูกจัดกลุ่มภายใต้องค์ประกอบที่พวกเขาส่งผลกระทบต่อ ปัญหาที่อธิบายไว้ในตารางด้านล่างนี้และรวมถึง CVE รหัสอ้างอิงที่เกี่ยวข้อง ประเภทของความเสี่ยง , ความรุนแรง และการปรับปรุงรุ่น AOSP (ถ้ามี) เมื่อมีเราจะเชื่อมโยงการเปลี่ยนแปลงของประชาชนที่ได้กล่าวถึงประเด็นที่จะรหัสข้อผิดพลาดเช่นการเปลี่ยนแปลงรายการ AOSP เมื่อมีการเปลี่ยนแปลงหลาย ๆ ที่เกี่ยวข้องกับข้อผิดพลาดเพียงครั้งเดียวอ้างอิงเพิ่มเติมมีการเชื่อมโยงไปยังหมายเลขดังต่อไปนี้รหัสข้อผิดพลาด อุปกรณ์ที่มี Android 10 และต่อมาอาจได้รับการปรับปรุงการรักษาความปลอดภัยเช่นเดียวกับ การปรับปรุงระบบของ Google Play

Android รันไทม์

ช่องโหว่ในส่วนนี้อาจนำไปสู่การยกระดับท้องถิ่นสิทธิ์มีสิทธิ์ดำเนินการระบบที่จำเป็น

CVE อ้างอิง พิมพ์ ความรุนแรง รุ่นที่ปรับปรุง AOSP
CVE-2021-39689 A-206090748 EOP ปานกลาง 12

กรอบ

ช่องโหว่ที่รุนแรงที่สุดในส่วนนี้อาจนำไปสู่การยกระดับท้องถิ่นสิทธิ์มีสิทธิ์ดำเนินการผู้ใช้ที่จำเป็น

CVE อ้างอิง พิมพ์ ความรุนแรง รุ่นที่ปรับปรุง AOSP
CVE-2021-39692 A-209611539 EOP สูง 10, 11, 12
CVE-2021-39693 A-208662370 EOP สูง 12
CVE-2021-39695 A-209607944 EOP สูง 11
CVE-2021-39697 A-200813547 [ 2 ] EOP สูง 11, 12
CVE-2021-39690 A-204316511 DoS สูง 12

สื่อกรอบ

ช่องโหว่ในส่วนนี้อาจนำไปสู่การเปิดเผยข้อมูลระยะไกลโดยไม่มีสิทธิพิเศษในการดำเนินการเพิ่มเติมที่จำเป็น

CVE อ้างอิง พิมพ์ ความรุนแรง รุ่นที่ปรับปรุง AOSP
CVE-2021-39667 A-205702093 ID สูง 10, 11, 12

ระบบ

ช่องโหว่ที่รุนแรงที่สุดในส่วนนี้อาจนำไปสู่การเพิ่มระยะไกลของสิทธิพิเศษที่มีสิทธิ์ดำเนินการใด ๆ เพิ่มเติมที่จำเป็น

CVE อ้างอิง พิมพ์ ความรุนแรง รุ่นที่ปรับปรุง AOSP
CVE-2021-39708 A-206128341 EOP วิกฤต 12
CVE-2021-0957 A-193149550 EOP สูง 10, 11, 12
CVE-2021-39701 A-212286849 EOP สูง 11, 12
CVE-2021-39702 A-205150380 EOP สูง 12
CVE-2021-39703 A-207057578 EOP สูง 12
CVE-2021-39704 A-209965481 EOP สูง 10, 11, 12
CVE-2021-39706 A-200164168 [ 2 ] EOP สูง 10, 11, 12
CVE-2021-39707 A-200688991 EOP สูง 10, 11, 12
CVE-2021-39709 A-208817618 EOP สูง 12

การปรับปรุงระบบของ Google Play

ปัญหาต่อไปนี้จะรวมอยู่ในส่วนประกอบโครงการฉีด

ส่วนประกอบ CVE
ตัวแปลงสัญญาณสื่อ CVE-2021-39667

การรักษาความปลอดภัย 2022/03/05 รายละเอียดช่องโหว่ระดับแพทช์

ในส่วนด้านล่างที่เรามีให้รายละเอียดของแต่ละช่องโหว่ความปลอดภัยที่ใช้กับระดับ 2022/03/05 แพทช์ ช่องโหว่ที่จะถูกจัดกลุ่มภายใต้องค์ประกอบที่พวกเขาส่งผลกระทบต่อ ปัญหาที่อธิบายไว้ในตารางด้านล่างนี้และรวมถึง CVE รหัสอ้างอิงที่เกี่ยวข้อง ประเภทของความเสี่ยง , ความรุนแรง และการปรับปรุงรุ่น AOSP (ถ้ามี) เมื่อมีเราจะเชื่อมโยงการเปลี่ยนแปลงของประชาชนที่ได้กล่าวถึงประเด็นที่จะรหัสข้อผิดพลาดเช่นการเปลี่ยนแปลงรายการ AOSP เมื่อมีการเปลี่ยนแปลงหลาย ๆ ที่เกี่ยวข้องกับข้อผิดพลาดเพียงครั้งเดียวอ้างอิงเพิ่มเติมมีการเชื่อมโยงไปยังหมายเลขดังต่อไปนี้รหัสข้อผิดพลาด

กรอบ

ช่องโหว่ในส่วนนี้อาจนำไปสู่การยกระดับท้องถิ่นสิทธิ์มีสิทธิ์ดำเนินการใด ๆ เพิ่มเติมที่จำเป็น

CVE อ้างอิง พิมพ์ ความรุนแรง รุ่นที่ปรับปรุง AOSP
CVE-2021-39694 A-202312327 EOP สูง 12

ส่วนประกอบเคอร์เนล

ช่องโหว่ที่รุนแรงที่สุดในส่วนนี้อาจนำไปสู่การยกระดับท้องถิ่นสิทธิ์มีสิทธิ์ดำเนินการใด ๆ เพิ่มเติมที่จำเป็น

CVE อ้างอิง พิมพ์ ความรุนแรง ส่วนประกอบ
CVE-2020-29368 A-174738029
เคอร์เนลต้นน้ำ
EOP สูง การจัดการหน่วยความจำเคอร์เนล
CVE-2021-39685 A-210292376
เคอร์เนลต้นน้ำ [ 2 ] [ 3 ]
EOP สูง ลินุกซ์
CVE-2021-39686 A-200688826
เคอร์เนลต้นน้ำ [ 2 ] [ 3 ] [ 4 ]
EOP สูง เครื่องผูก
CVE-2021-39698 A-185125206
เคอร์เนลต้นน้ำ [ 2 ] [ 3 ] [ 4 ] [ 5 ]
EOP สูง เมล็ด
CVE-2021-3655 A-197154735
เคอร์เนลต้นน้ำ [ 2 ] [ 3 ] [ 4 ]
ID สูง SCTP

ส่วนประกอบ MediaTek

ช่องโหว่เหล่านี้ส่งผลกระทบต่อส่วนประกอบ MediaTek และรายละเอียดเพิ่มเติมที่มีอยู่ได้โดยตรงจาก MediaTek การประเมินความรุนแรงของปัญหาเหล่านี้ให้บริการโดยตรงจาก MediaTek

CVE อ้างอิง ความรุนแรง ส่วนประกอบ
CVE-2022-20047 A-213120685
M-ALPS05917489 *
สูง ถอดรหัสวิดีโอ
CVE-2022-20048
A-213116796
M-ALPS05917502 *
สูง ถอดรหัสวิดีโอ
CVE-2022-20053 A-213120689
M-ALPS06219097 *
สูง บริการ IMS

ส่วนประกอบวอลคอมม์

ช่องโหว่เหล่านี้ส่งผลกระทบต่อชิ้นส่วนวอลคอมม์และมีการอธิบายในรายละเอียดต่อไปในกระดานข่าวความปลอดภัยวอลคอมม์ที่เหมาะสมหรือแจ้งเตือนความปลอดภัย การประเมินความรุนแรงของปัญหาเหล่านี้ให้บริการโดยตรงจากวอลคอมม์

CVE อ้างอิง ความรุนแรง ส่วนประกอบ
CVE-2021-35088 A-204905738
QC-CR # 3007473
สูง WLAN
CVE-2021-35103
A-209481110
QC-CR # 3033509
สูง WLAN
CVE-2021-35105
A-209469958
QC-CR # 3034743 [ 2 ]
สูง แสดง
CVE-2021-35106
A-209481028
QC-CR # 3035196 [ 2 ]
สูง WLAN
CVE-2021-35117
A-209481202
QC-CR # 3028360
สูง WLAN

วอลคอมม์ส่วนประกอบปิดแหล่งที่มา

ช่องโหว่เหล่านี้ส่งผลกระทบต่อ Qualcomm ส่วนประกอบปิดแหล่งที่มาและมีการอธิบายในรายละเอียดต่อไปในกระดานข่าวความปลอดภัยวอลคอมม์ที่เหมาะสมหรือแจ้งเตือนความปลอดภัย การประเมินความรุนแรงของปัญหาเหล่านี้ให้บริการโดยตรงจากวอลคอมม์

CVE อ้างอิง ความรุนแรง ส่วนประกอบ
CVE-2021-1942
A-199191104 * วิกฤต องค์ประกอบปิดแหล่งที่มา
CVE-2021-35110 A-209469768 * วิกฤต องค์ประกอบปิดแหล่งที่มา
CVE-2021-1950
A-199191539 * สูง องค์ประกอบปิดแหล่งที่มา
CVE-2021-30328 A-199191341 * สูง องค์ประกอบปิดแหล่งที่มา
CVE-2021-30329
A-199191831 * สูง องค์ประกอบปิดแหล่งที่มา
CVE-2021-30332
A-199190643 * สูง องค์ประกอบปิดแหล่งที่มา
CVE-2021-30333 A-199191889 * สูง องค์ประกอบปิดแหล่งที่มา

การปรับปรุงระบบของ Google Play

ปัญหาต่อไปนี้จะรวมอยู่ในส่วนประกอบโครงการฉีด

ส่วนประกอบ CVE
ได้รับอนุญาตควบคุม CVE-2021-39694

คำถามที่พบบ่อยและคำตอบ

ในส่วนนี้จะตอบคำถามที่พบบ่อยที่อาจเกิดขึ้นหลังจากที่ได้อ่านข่าวนี้

1. ฉันจะตรวจสอบได้อย่างไรว่าอุปกรณ์ของฉันมีการปรับปรุงเพื่อแก้ไขปัญหาเหล่านี้หรือไม่

เรียนรู้วิธีการตรวจสอบระดับโปรแกรมปรับปรุงความปลอดภัยของอุปกรณ์ให้ดูที่ การตรวจสอบและอัปเดตเวอร์ชัน Android ของคุณ

  • ระดับแพทช์การรักษาความปลอดภัยของ 2022/03/01 หรือที่อยู่ต่อมาทุกประเด็นที่เกี่ยวข้องกับการรักษาความปลอดภัยระดับแพทช์ 2022/03/01
  • ระดับแพทช์การรักษาความปลอดภัยของ 2022/03/05 หรือที่อยู่ต่อมาทุกประเด็นที่เกี่ยวข้องกับการรักษาความปลอดภัยระดับแพทช์ 2022/03/05 และทุกระดับแพทช์ก่อนหน้านี้

ผู้ผลิตอุปกรณ์ที่มีการปรับปรุงเหล่านี้ควรตั้งแพทช์สตริงระดับ:

  • [ro.build.version.security_patch]: [2022/03/01]
  • [ro.build.version.security_patch]: [2022/03/05]

สำหรับอุปกรณ์บางอย่างบน Android 10 หรือภายหลังการปรับปรุงระบบของ Google Play จะมีสตริงวันที่ตรงกับระดับโปรแกรมปรับปรุงความปลอดภัย 2022/03/01 โปรดดู บทความนี้ สำหรับรายละเอียดเพิ่มเติมเกี่ยวกับวิธีการติดตั้งโปรแกรมปรับปรุงการรักษาความปลอดภัย

2. ทำไมข่าวนี้มีสองระดับแพทช์รักษาความปลอดภัย?

ข่าวนี้มีสองระดับโปรแกรมปรับปรุงความปลอดภัยเพื่อให้คู่ค้าของ Android มีความยืดหยุ่นในการแก้ไขปัญหาส่วนหนึ่งของช่องโหว่ที่มีความคล้ายคลึงกันทั่วทุกอุปกรณ์ Android ได้อย่างรวดเร็ว พาร์ทเนอร์ของ Android มีกำลังใจที่จะแก้ไขปัญหาทั้งหมดในข่าวนี้และใช้แพทช์ระดับการรักษาความปลอดภัยล่าสุด

  • อุปกรณ์ที่ใช้ในระดับโปรแกรมปรับปรุงความปลอดภัย 2022/03/01 ต้องรวมทุกประเด็นที่เกี่ยวข้องกับแพทช์ระดับการรักษาความปลอดภัยที่เช่นเดียวกับการแก้ไขปัญหาทั้งหมดรายงานในกระดานข่าวความปลอดภัยก่อนหน้านี้
  • อุปกรณ์ที่ใช้แพทช์ระดับการรักษาความปลอดภัยของ 2022/03/05 หรือใหม่กว่าต้องมีแพทช์ทั้งหมดที่บังคับใช้ในวันนี้ (และก่อนหน้า) กระดานข่าวความปลอดภัย

พาร์ทเนอร์ได้รับการสนับสนุนที่จะกำแก้ไขสำหรับปัญหาทั้งหมดที่พวกเขามีที่อยู่ในการปรับปรุงในครั้งเดียว

3 สิ่งที่ทำรายการในค่าเฉลี่ยคอลัมน์ ประเภท ?

รายการในคอลัมน์ ประเภท ของช่องโหว่รายละเอียดอ้างอิงตารางการจัดหมวดหมู่ของช่องโหว่การรักษาความปลอดภัย

ตัวย่อ คำนิยาม
RCE โค้ดจากระยะไกล
EOP การยกระดับสิทธิ์
ID การเปิดเผยข้อมูล
DoS ปฏิเสธการให้บริการ
N / A การจำแนกประเภทไม่สามารถใช้ได้

4 สิ่งที่ทำรายการในค่าเฉลี่ยคอลัมน์ อ้างอิง ?

รายการภายใต้การ อ้างอิง คอลัมน์ของตารางรายละเอียดช่องโหว่อาจจะมีคำนำหน้าระบุองค์กรที่ค่าอ้างอิงเป็น

อุปสรรค อ้างอิง
A- รหัสข้อผิดพลาดของ Android
QC- หมายเลขอ้างอิงวอลคอมม์
M- หมายเลขอ้างอิง MediaTek
N- หมายเลขอ้างอิง NVIDIA
B- หมายเลขอ้างอิง Broadcom
ยู- หมายเลขอ้างอิง UNISOC

5. อะไรนี้ * ติดกับรหัสข้อผิดพลาดใน Android หมายถึงคอลัมน์ อ้างอิง ?

ปัญหาที่ไม่ได้เปิดเผยต่อสาธารณชนมี * ติดกับหมายเลขอ้างอิงที่สอดคล้องกัน การปรับปรุงสำหรับปัญหาที่มีอยู่ทั่วไปในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์พิกเซลพร้อมใช้งานจาก เว็บไซต์ของนักพัฒนาซอฟต์แวร์ Google

6. ทำไมช่องโหว่ความปลอดภัยแยกระหว่างข่าวนี้และอุปกรณ์ / พันธมิตรกระดานข่าวความปลอดภัยเช่นข่าวพิกเซล?

ช่องโหว่ความปลอดภัยที่ได้รับการบันทึกไว้ในกระดานข่าวความปลอดภัยนี้จะต้องประกาศแพทช์ระดับการรักษาความปลอดภัยล่าสุดเกี่ยวกับอุปกรณ์ Android ช่องโหว่ความปลอดภัยอื่น ๆ ที่มีการบันทึกไว้ในอุปกรณ์ / พันธมิตรกระดานข่าวความปลอดภัยจะไม่จำเป็นสำหรับการประกาศระดับโปรแกรมปรับปรุงความปลอดภัย อุปกรณ์ Android และชิปเซ็ตผู้ผลิตยังสามารถเผยแพร่รายละเอียดการรักษาความปลอดภัยช่องโหว่ที่เฉพาะเจาะจงกับผลิตภัณฑ์ของพวกเขาเช่น Google , หัวเว่ย , แอล จี , Motorola , Nokia หรือ ซัมซุง

รุ่น

รุ่น วันที่ หมายเหตุ
1.0 7 มีนาคม 2022 Bulletin ปล่อยตัว
1.1 8 มีนาคม 2022 Bulletin ปรับปรุงเพื่อให้มีการเชื่อมโยง AOSP
1.2 5 เมษายน 2022 ตาราง CVE แก้ไข