กระดานข่าวสารด้านความปลอดภัยของ Android มีรายละเอียดเกี่ยวกับความปลอดภัย ช่องโหว่ที่ส่งผลต่ออุปกรณ์ Android ระดับแพตช์ด้านความปลอดภัย 05-08-2024 หรือหลังจากนั้น จะช่วยแก้ปัญหาทั้งหมดนี้ เพื่อดูวิธี ในการตรวจสอบระดับแพตช์ความปลอดภัยของอุปกรณ์ โปรดดู เช็ค และอัปเดตเวอร์ชัน Android ของคุณ
พาร์ทเนอร์ Android ได้รับการแจ้งเตือนทุกปัญหาอย่างน้อย 1 เดือน ก่อนเผยแพร่ แพตช์ซอร์สโค้ดสำหรับปัญหาเหล่านี้จะ เปิดตัวในที่เก็บโครงการโอเพนซอร์ส Android (AOSP) ใน 48 ชั่วโมงข้างหน้า เราจะแก้ไขกระดานข่าวสารนี้ด้วย AOSP หากมี
ปัญหาที่รุนแรงที่สุดคือการรักษาความปลอดภัยระดับสูง ในคอมโพเนนต์เฟรมเวิร์กที่อาจทําให้เกิด การส่งต่อสิทธิ์โดยไม่มีสิทธิ์ดำเนินการเพิ่มเติม ที่จำเป็น ความรุนแรง การประเมินจะอิงตามผลลัพธ์ ที่อาจได้รับผลพวงจากช่องโหว่นี้ อุปกรณ์ที่ได้รับผลกระทบ ในกรณีที่ใช้แพลตฟอร์มและการลดความเสี่ยง จะปิดอยู่เพื่อวัตถุประสงค์ในการพัฒนาหรือหากดำเนินการสำเร็จ ข้าม
โปรดดูที่Android และ Google Play ส่วน "ปกป้องการลดความเสี่ยง" เพื่อดูรายละเอียดเกี่ยวกับความปลอดภัยของ Android การป้องกันแพลตฟอร์มและ Google Play Protect ซึ่งช่วยปรับปรุง ความปลอดภัยของแพลตฟอร์ม Android
Android และ การผ่อนปรนชั่วคราวสำหรับบริการของ Google
นี่คือสรุปการบรรเทาปัญหาจากทีมรักษาความปลอดภัยของ Android แพลตฟอร์มและการปกป้องบริการ เช่น Google Play Protect เหล่านี้ ของความสามารถนี้จะลดโอกาสที่ช่องโหว่ด้านความปลอดภัย อาจถูกใช้ประโยชน์ใน Android ได้สำเร็จ
- การใช้ประโยชน์จากปัญหามากมายบน Android ทำได้มากขึ้น จากการเพิ่มประสิทธิภาพใน เวอร์ชันใหม่ๆ ของ Android ที่มีการจัดการครบวงจรได้เลย เราขอแนะนำให้ผู้ใช้ทุกคนอัปเดตเป็นเวอร์ชันล่าสุด เวอร์ชัน Android หากเป็นไปได้
- ทีมรักษาความปลอดภัยของ Android คอยตรวจสอบการละเมิดอยู่เสมอ ผ่าน Google Play Protect และเตือน ผู้ใช้เกี่ยวกับแอปพลิเคชันที่อาจเป็นอันตราย Google Play Protect จะเปิดใช้โดยค่าเริ่มต้นในอุปกรณ์ที่มีบริการของ Google Mobile โดยเฉพาะอย่างยิ่ง สำคัญสำหรับผู้ใช้ที่ติดตั้งแอปจากภายนอก Google เล่น
รายละเอียดช่องโหว่ระดับแพตช์ความปลอดภัย 2024-08-01
ในส่วนด้านล่าง เราจะอธิบายรายละเอียดสำหรับแต่ละ ช่องโหว่ด้านความปลอดภัยที่ใช้กับแพตช์ 01-08-2024 ระบบจะจัดกลุ่มช่องโหว่ไว้ภายใต้คอมโพเนนต์ของช่องโหว่เหล่านั้น ผลกระทบ เราได้อธิบายปัญหาไว้ในตารางด้านล่าง และรวม CVE รหัส การอ้างอิงที่เกี่ยวข้อง ประเภทของช่องโหว่ ความรุนแรง และเวอร์ชัน AOSP ที่อัปเดต (ที่ ที่เกี่ยวข้อง) เมื่อสามารถทำได้ เราจะลิงก์การเปลี่ยนแปลงสาธารณะที่ แก้ไขปัญหาไปยังรหัสข้อบกพร่อง เช่น รายการเปลี่ยนแปลง AOSP เมื่อการเปลี่ยนแปลงหลายรายการเกี่ยวข้องกับข้อบกพร่องเดียว จะลิงก์กับหมายเลขที่ตามหลังรหัสข้อบกพร่อง อุปกรณ์ ที่ใช้ Android 10 ขึ้นไปอาจได้รับการอัปเดตความปลอดภัย รวมถึง การอัปเดตระบบ Google Play
เฟรมเวิร์ก
ช่องโหว่ที่ร้ายแรงที่สุดใน ส่วนนี้อาจนำไปสู่การส่งต่อสิทธิ์ในท้องถิ่นโดยไม่มี ต้องมีสิทธิ์ในการดำเนินการเพิ่มเติม
| CVE | ข้อมูลอ้างอิง | ประเภท | ความรุนแรง | เวอร์ชัน AOSP ที่อัปเดต |
|---|---|---|---|---|
| CVE-2023-20971 | A-225880325 | EP | สูง | 12, 12, 13, 14 |
| CVE-2023-21351 | A-232798676 | EP | สูง | 12, 12 ลิตร, 13 ลิตร |
| CVE-2024-34731 | A-319210610 [2] [3] [4] [5] | EP | สูง | 12, 12, 13, 14 |
| CVE-2024-34734 | A-304772709 | EP | สูง | 13, 14 |
| CVE-2024-34735 | A-336490997 | EP | สูง | 12, 12 ลิตร, 13 ลิตร |
| CVE-2024-34737 | A-283103220 | EP | สูง | 12, 12, 13, 14 |
| CVE-2024-34738 | A-336323279 | EP | สูง | 13, 14 |
| CVE-2024-34739 | A-294105066 | EP | สูง | 12, 12, 13, 14 |
| CVE-2024-34740 | A-307288067 [2] | EP | สูง | 12, 12, 13, 14 |
| CVE-2024-34741 | A-318683640 | EP | สูง | 12, 12, 13, 14 |
| CVE-2024-34743 | A-336648613 | EP | สูง | 14 |
| CVE-2024-34736 | A-288549440 | รหัส | สูง | 12, 12, 13, 14 |
| CVE-2024-34742 | A-335232744 | สิ่งที่ควรทำ | สูง | 14 |
ระบบ
ช่องโหว่ในส่วนนี้ อาจนำไปสู่การเปิดเผยข้อมูลจากระยะไกลโดยไม่มี ต้องมีสิทธิ์ในการดำเนินการ
| CVE | ข้อมูลอ้างอิง | ประเภท | ความรุนแรง | เวอร์ชัน AOSP ที่อัปเดต |
|---|---|---|---|---|
| CVE-2024-34727 | A-287184435 | รหัส | สูง | 12, 12, 13, 14 |
ระบบ Google Play อัปเดต
ไม่มีปัญหาด้านความปลอดภัยที่ระบุในระบบ Google Play (Project Mainline) ในเดือนนี้
รายละเอียดช่องโหว่ระดับแพตช์ความปลอดภัย 2024-08-05
ในส่วนด้านล่าง เราจะอธิบายรายละเอียดสำหรับแต่ละ ช่องโหว่ด้านความปลอดภัยที่ใช้กับแพตช์ 05-08-2024 ระบบจะจัดกลุ่มช่องโหว่ไว้ภายใต้คอมโพเนนต์ของช่องโหว่เหล่านั้น ผลกระทบ เราได้อธิบายปัญหาไว้ในตารางด้านล่าง และรวม CVE รหัส การอ้างอิงที่เกี่ยวข้อง ประเภทของช่องโหว่ ความรุนแรง และเวอร์ชัน AOSP ที่อัปเดต (ที่ ที่เกี่ยวข้อง) เมื่อสามารถทำได้ เราจะลิงก์การเปลี่ยนแปลงสาธารณะที่ แก้ไขปัญหาไปยังรหัสข้อบกพร่อง เช่น รายการเปลี่ยนแปลง AOSP เมื่อการเปลี่ยนแปลงหลายรายการเกี่ยวข้องกับข้อบกพร่องเดียว จะลิงก์กับหมายเลขที่ตามหลังรหัสข้อบกพร่อง
เคอร์เนล
ช่องโหว่ในส่วนนี้ อาจนำไปสู่การเรียกใช้โค้ดจากระยะไกลด้วยการดำเนินการของระบบ ต้องมีสิทธิ์
| CVE | ข้อมูลอ้างอิง | ประเภท | ความรุนแรง | องค์ประกอบย่อย |
|---|---|---|---|---|
| CVE-2024-36971 |
A-343727534 เคอร์เนลอัปสตรีม [2] [3] [4] [5] [6] [7] [8] [9] [10] [10] |
ใหม่ | สูง | เคอร์เนล |
ส่วนประกอบของแขน
ช่องโหว่เหล่านี้ส่งผลกระทบต่อคอมโพเนนต์ของ Arm ดูรายละเอียดได้โดยตรงจาก Arm การประเมินความรุนแรง ของปัญหาเหล่านี้จัดทำโดย Arm โดยตรง
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | องค์ประกอบย่อย |
|---|---|---|---|
| CVE-2024-2937 |
A-339866012 * | สูง | มาลี |
| CVE-2024-4607 |
A-339869945 * | สูง | มาลี |
เทคโนโลยีจินตนาการ
ช่องโหว่นี้ส่งผลต่อคอมโพเนนต์ Imagination Technologies และรายละเอียดเพิ่มเติมจาก Imagination โดยตรง เทคโนโลยี มีการประเมินความรุนแรงของปัญหานี้ Imagination Technologies โดยตรง
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | องค์ประกอบย่อย | |
|---|---|---|---|---|
| CVE-2024-31333 |
A-331435657 * | สูง | PowerVR-GPU |
คอมโพเนนต์ของ MediaTek
ช่องโหว่นี้ส่งผลต่อคอมโพเนนต์ MediaTek และอื่นๆ ดูรายละเอียดได้โดยตรงจาก MediaTek ความรุนแรง การประเมินปัญหานี้จัดทำโดย MediaTek โดยตรง
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | องค์ประกอบย่อย |
|---|---|---|---|
| CVE-2024-20082 |
A-344434139 M-MOLY01182594 * |
สูง | โมเด็ม |
คอมโพเนนต์ Qualcomm
ช่องโหว่เหล่านี้ส่งผลกระทบต่อคอมโพเนนต์ Qualcomm และ ซึ่งอธิบายไว้ในรายละเอียดเพิ่มเติมในการรักษาความปลอดภัยของ Qualcomm ที่เหมาะสม กระดานข่าวสาร หรือการแจ้งเตือนความปลอดภัย การประเมินความรุนแรงของสื่อเหล่านี้ จะจัดทำโดย Qualcomm โดยตรง
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | องค์ประกอบย่อย |
|---|---|---|---|
| CVE-2024-21478 |
A-323926460 QC-CR#3594987 |
สูง | จอแสดงผล |
| CVE-2024-23381 |
A-339043781 QC-CR#3701594 [2] |
สูง | จอแสดงผล |
| CVE-2024-23382 |
A-339043615 QC-CR#3704061 [2] |
สูง | จอแสดงผล |
| CVE-2024-23383 |
A-339042492 QC-CR#3707659 |
สูง | จอแสดงผล |
| CVE-2024-23384 |
A-339043323 QC-CR#3704870 [2] |
สูง | จอแสดงผล |
| CVE-2024-33010 |
A-339043396 QC-CR#3717571 |
สูง | WLAN |
| CVE-2024-33011 |
A-339043727 QC-CR#3717567 |
สูง | WLAN |
| CVE-2024-33012 |
A-339043053 QC-CR#3717566 |
สูง | WLAN |
| CVE-2024-33013 |
A-339042691 QC-CR#3710085 |
สูง | WLAN |
| CVE-2024-33014 |
A-339043382 QC-CR#3710081 |
สูง | WLAN |
| CVE-2024-33015 |
A-339043107 QC-CR#3710080 |
สูง | WLAN |
| CVE-2024-33018 |
A-339043500 QC-CR#3704796 |
สูง | WLAN |
| CVE-2024-33019 |
A-339043783 QC-CR#3704794 |
สูง | WLAN |
| CVE-2024-33020 |
A-339043480 QC-CR#3704762 |
สูง | WLAN |
| CVE-2024-33023 |
A-339043278 QC-CR#3702019 [2] |
สูง | จอแสดงผล |
| CVE-2024-33024 |
A-339043270 QC-CR#3700072 |
สูง | WLAN |
| CVE-2024-33025 |
A-339042969 QC-CR#3700045 |
สูง | WLAN |
| CVE-2024-33026 |
A-339043880 QC-CR#3699954 |
สูง | WLAN |
| CVE-2024-33027 |
A-316373168 QC-CR#3697522 |
สูง | จอแสดงผล |
| CVE-2024-33028 |
A-339043463 QC-CR#3694338 |
สูง | จอแสดงผล |
Qualcomm แบบโอเพนซอร์ส คอมโพเนนต์
ช่องโหว่เหล่านี้ส่งผลต่อคอมโพเนนต์แบบปิดของ Qualcomm และได้อธิบายรายละเอียดเพิ่มเติมใน Qualcomm ที่เหมาะสม กระดานข่าวสารด้านความปลอดภัยหรือการแจ้งเตือนความปลอดภัย การประเมินความรุนแรงของ ปัญหาเหล่านี้มาจาก Qualcomm โดยตรง
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | องค์ประกอบย่อย |
|---|---|---|---|
| CVE-2024-23350 |
A-323919259 * | วิกฤต | คอมโพเนนต์แบบปิด |
| CVE-2024-21481 |
A-323918669 * | สูง | คอมโพเนนต์แบบปิด |
| CVE-2024-23352 |
A-323918787 * | สูง | คอมโพเนนต์แบบปิด |
| CVE-2024-23353 |
A-323918845 * | สูง | คอมโพเนนต์แบบปิด |
| CVE-2024-23355 |
A-323918338 * | สูง | คอมโพเนนต์แบบปิด |
| CVE-2024-23356 |
A-323919081 * | สูง | คอมโพเนนต์แบบปิด |
| CVE-2024-23357 |
A-323919249 * | สูง | คอมโพเนนต์แบบปิด |
คำถามที่พบบ่อยและ คำตอบ
ข้อมูลในส่วนนี้จะตอบคำถามที่พบบ่อยซึ่งอาจเกิดขึ้นหลังจาก อ่านกระดานข่าวสารนี้
1. ฉันจะรู้ได้อย่างไรว่าอุปกรณ์ได้รับการอัปเดตเป็น แก้ปัญหาเหล่านี้ได้ไหม
หากต้องการดูวิธีตรวจสอบระดับแพตช์ความปลอดภัยของอุปกรณ์ โปรดดู ตรวจสอบและอัปเดต Android version
- ระดับแพตช์ความปลอดภัย 01-08-2024 เป็นต้นไปจะจัดการปัญหาทั้งหมด ปัญหาที่เกี่ยวข้องกับแพตช์ความปลอดภัย 2024-08-01
- ระดับแพตช์ความปลอดภัย 05-08-2024 เป็นต้นไปจะจัดการปัญหาทั้งหมด ปัญหาที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัย 2024-08-05 และ ระดับแพตช์ก่อนหน้านี้ทั้งหมด
ผู้ผลิตอุปกรณ์ที่มีการอัปเดตเหล่านี้ควรตั้งค่า ระดับสตริงการแก้ไขเป็น:
- [ro.build.version.security_patch]:[01-08-2024]
- [ro.build.version.security_patch]:[05-08-2024]
สำหรับอุปกรณ์บางรุ่นที่ใช้ Android 10 ขึ้นไป สามารถใช้ Google Play การอัปเดตระบบจะมีสตริงวันที่ที่ตรงกับ 01-08-2024 ระดับแพตช์ความปลอดภัย โปรดอ่านรายละเอียดเพิ่มเติมเกี่ยวกับบทความนี้ วิธีติดตั้งการอัปเดตความปลอดภัย
2. เหตุใดกระดานข่าวสารนี้มีแพตช์ความปลอดภัย 2 รายการ ระดับใด
กระดานข่าวสารนี้มีแพตช์ความปลอดภัย 2 ระดับเพื่อให้ Android พาร์ทเนอร์สามารถแก้ไขช่องโหว่ย่อยๆ ได้อย่างยืดหยุ่น ที่คล้ายกันในอุปกรณ์ Android ทุกเครื่องได้รวดเร็วยิ่งขึ้น แอนดรอยด์ ขอแนะนำให้พาร์ทเนอร์แก้ไขปัญหาทั้งหมดในกระดานข่าวสารฉบับนี้ ใช้ระดับแพตช์ความปลอดภัยล่าสุด
- อุปกรณ์ที่ใช้ระดับแพตช์ความปลอดภัย 2024-08-01 จะต้อง รวมปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัยนั้น ตลอดจนการแก้ไขปัญหาทั้งหมดที่รายงานด้านความปลอดภัยก่อนหน้านี้ กระดานข่าวสาร
- อุปกรณ์ที่ใช้ระดับแพตช์ความปลอดภัย 2024-08-05 หรือ ใหม่กว่าจะต้องมีแพตช์ที่เกี่ยวข้องทั้งหมดใน ก่อนหน้า) กระดานข่าวสารด้านความปลอดภัย
พาร์ทเนอร์ควรรวมการแก้ไขปัญหาทั้งหมดไว้ด้วยกัน เด็กๆ แก้ไขได้ในการอัปเดตครั้งเดียว
3. ข้อมูลในคอลัมน์ประเภท หมายความว่า
รายการในคอลัมน์ประเภทของช่องโหว่ ตารางรายละเอียดจะอ้างอิงการจำแนกประเภท ช่องโหว่
| ตัวย่อ | คำจำกัดความ |
|---|---|
| ใหม่ | การดำเนินการกับโค้ดจากระยะไกล |
| EP | การยกระดับสิทธิ์ |
| รหัส | การเปิดเผยข้อมูล |
| สิ่งที่ควรทำ | ปฏิเสธการให้บริการ |
| ไม่มี | ไม่มีการแยกประเภท |
4. ข้อมูลในข้อมูลอ้างอิง จะหมายถึงอะไร
รายการในคอลัมน์ข้อมูลอ้างอิงของ ตารางรายละเอียดช่องโหว่อาจมีคำนำหน้าที่ระบุ องค์กรที่มีค่าอ้างอิงอยู่
| คำนำหน้า | ข้อมูลอ้างอิง |
|---|---|
| A- | รหัสข้อบกพร่องของ Android |
| QC- | หมายเลขอ้างอิง Qualcomm |
| จ- | หมายเลขอ้างอิง MediaTek |
| น. | หมายเลขอ้างอิง NVIDIA |
| B- | หมายเลขอ้างอิง Broadcom |
| U- | หมายเลขอ้างอิง UNISOC |
5. เครื่องหมาย * ถัดจากรหัสข้อบกพร่องของ Android ใน ความหมายของคอลัมน์ข้อมูลอ้างอิง
ปัญหาที่ไม่ได้เผยแพร่ต่อสาธารณะจะมีเครื่องหมาย * อยู่ถัดจาก รหัสอ้างอิงที่เกี่ยวข้อง ข้อมูลอัปเดตสำหรับปัญหาดังกล่าวคือ มักอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับ Pixel อุปกรณ์ที่พร้อมใช้งานจาก เว็บไซต์ของนักพัฒนาซอฟต์แวร์ Google
6. เหตุใดช่องโหว่ด้านความปลอดภัยจึงแยกจากกัน กระดานข่าวสารด้านความปลอดภัยของอุปกรณ์ / พาร์ทเนอร์ เช่น กระดานข่าวสาร Pixel
ช่องโหว่ด้านความปลอดภัยที่ระบุในความปลอดภัยนี้ ต้องมีกระดานข่าวสารเพื่อประกาศระดับแพตช์ความปลอดภัยล่าสุด บนอุปกรณ์ Android ช่องโหว่ด้านความปลอดภัยอื่นๆ ที่ ที่ระบุในกระดานข่าวสารด้านความปลอดภัยของอุปกรณ์ / พาร์ทเนอร์ จำเป็นสำหรับการประกาศระดับแพตช์ความปลอดภัย อุปกรณ์ Android และ ผู้ผลิตชิปเซ็ตอาจเผยแพร่ช่องโหว่ด้านความปลอดภัยด้วย รายละเอียดเฉพาะของผลิตภัณฑ์ เช่น Google, Huawei, LGE, Motorola, Nokia หรือ Samsung
เวอร์ชัน
| เวอร์ชัน | วันที่ | หมายเหตุ |
|---|---|---|
| 1.0 | 5 สิงหาคม 2024 | เผยแพร่กระดานข่าวสารแล้ว |