בחדשות האבטחה של Android מפורטות נקודות חולשה שמשפיעות על מכשירי Android. תיקוני אבטחה מרמה 2025-11-01 ואילך פותרים את כל הבעיות האלה. במאמר איך בודקים ומעדכנים את גרסת Android מוסבר איך בודקים את רמת תיקון האבטחה במכשיר.
תוך 48 שעות אחרי הפרסום הראשוני של העלון הזה, נפרסם את תיקוני קוד המקור התואמים במאגר של פרויקט הקוד הפתוח של Android (AOSP). לאחר מכן נעדכן את העלון הזה עם הקישורים ל-AOSP.
הבעיה החמורה ביותר היא פרצת אבטחה קריטית ברכיב המערכת, שעלולה להוביל להרצת קוד מרחוק ללא צורך בהרשאות ביצוע נוספות. לא נדרשת אינטראקציה מצד המשתמש כדי לנצל את הפגיעות. הערכת חומרת הפגיעות מבוססת על ההשפעה האפשרית של ניצול הפגיעות על מכשיר מושפע, בהנחה שאמצעי ההגנה של הפלטפורמה והשירות מושבתים למטרות פיתוח או אם נעקפו בהצלחה.
לפרטים נוספים על אמצעי ההגנה של פלטפורמת האבטחה של Android ועל Google Play Protect, שמשפרים את האבטחה של פלטפורמת Android, אפשר לעיין בקטע אמצעי ההגנה של Android ו-Google Play Protect.
אנחנו מודיעים לשותפי Android על כל הבעיות לפחות חודש לפני פרסום העלון.
אמצעי הגנה בשירותי Google וב-Android
זהו סיכום של אמצעי ההגנה שמסופקים על ידי פלטפורמת האבטחה של Android ועל ידי שירותי ההגנה, כמו Google Play Protect. היכולות האלה מפחיתות את הסיכוי שנקודות חולשה באבטחה ינוצלו לרעה ב-Android.
- שיפורים בגרסאות חדשות יותר של פלטפורמת Android מקשים על ניצול של הרבה בעיות ב-Android. מומלץ לכל המשתמשים לעדכן לגרסה האחרונה של Android, אם אפשר.
- צוות האבטחה של Android עוקב באופן פעיל אחרי ניצול לרעה באמצעות Google Play Protect ומזהיר משתמשים מפני אפליקציות שעלולות להזיק. Google Play Protect מופעל כברירת מחדל במכשירים עם שירותי Google לנייד, והוא חשוב במיוחד למשתמשים שמתקינים אפליקציות ממקורות אחרים ולא מ-Google Play.
פרטים על נקודת החולשה ברמת תיקון האבטחה 2025-11-01
בקטעים הבאים מפורטות כל נקודות החולשה באבטחה שרלוונטיות לרמת התיקון 2025-11-01. נקודות החולשה מקובצות לפי הרכיב שהן משפיעות עליו. הבעיות מתוארות בטבלאות שבהמשך, וכוללות את מזהה ה-CVE, הפניות למקורות חיצוניים, סוג נקודת החולשה, חומרת הבעיה ומספרי הגרסה המעודכנים של AOSP (אם רלוונטי). אם יש פתרון לבעיה, אנחנו מקשרים את השינוי הציבורי שפתר אותה למזהה הבאג, כמו רשימת השינויים של AOSP. אם כמה שינויים קשורים לאותו באג, הפניות הנוספות מקושרות למספרים אחרי מזהה הבאג. יכול להיות שמכשירים עם Android מגרסה 10 ואילך יקבלו עדכוני אבטחה וגם עדכוני מערכת של Google Play.
מערכת
הפרצה החמורה ביותר בקטע הזה עלולה להוביל להרצת קוד מרחוק ללא צורך בהרשאות הרצה נוספות. לא נדרשת אינטראקציה מצד המשתמש כדי לנצל את הפגיעות.
| CVE | קובצי עזר | סוג | מידת החומרה | גרסאות AOSP מעודכנות |
|---|---|---|---|---|
| CVE-2025-48593 | A-374746961 [2] | RCE | קריטית | 13, 14, 15, 16 |
| CVE-2025-48581 | A-428945391 [2] [3] | EoP | רחב | 16 |
עדכוני מערכת של Google Play
אין בעיות אבטחה שמתייחסים אליהן בעדכוני המערכת של Google Play (פרויקט Mainline) החודש.
תשובות לשאלות נפוצות
בקטע הזה תמצאו תשובות לשאלות נפוצות שעשויות להתעורר אחרי קריאת העלון הזה.
1. איך אפשר לבדוק אם המכשיר שלי קיבל את העדכון שפותר את הבעיות האלה?
במאמר איך בודקים ומעדכנים את גרסת Android מוסבר איך בודקים את רמת תיקון האבטחה במכשיר.
- תיקוני אבטחה מרמה 2025-11-01 ואילך פותרים את כל הבעיות שמשויכות להם.
יצרני מכשירים שכוללים את העדכונים האלה צריכים להגדיר את רמת המחרוזת של התיקון לערך:
- [ro.build.version.security_patch]:[2025-11-01]
במכשירים מסוימים עם Android מגרסה 10 ואילך, לעדכון של מערכת Google Play יהיה מחרוזת תאריך שתואמת לרמת תיקון האבטחה 2025-11-01. במאמר הזה מוסבר איך להתקין עדכוני אבטחה.
2. למה בחדשות האבטחה האלה יש שתי רמות של תיקוני אבטחה?
בחדשות האבטחה האלה יש שתי רמות של תיקוני אבטחה, כדי ששותפי Android יוכלו לתקן במהירות רבה יותר קבוצת משנה של נקודות חולשה שדומות בכל מכשירי Android. אנחנו ממליצים לשותפי Android לתקן את כל הבעיות שמפורטות בתיקון הזה ולהשתמש בתיקוני האבטחה ברמה הכי עדכנית.
- מכשירים שמשתמשים בתיקון אבטחה ברמה 2025-11-01 חייבים לכלול את כל הבעיות שמשויכות לרמת תיקון האבטחה הזו, וגם תיקונים לכל הבעיות שדווחו בחדשות אבטחה קודמות.
אנחנו ממליצים לשותפים לאגד את התיקונים לכל הבעיות שהם מטפלים בהן בעדכון אחד.
3. מה המשמעות של הערכים בעמודה סוג?
הערכים בעמודה סוג בטבלת הפרטים של נקודות החולשה מתייחסים לסיווג שלהן.
| קיצור | ההגדרה |
|---|---|
| RCE | הרצת קוד מרחוק |
| EoP | רמת הרשאה גבוהה יותר |
| ID | חשיפת מידע |
| DoS | התקפת מניעת שירות |
| N/A | אין סיווג |
4. מה המשמעות של הערכים בעמודה הפניות למקורות חיצוניים?
מידע על הערכים בעמודה הפניות למקורות חיצוניים בטבלה של פרטי נקודות החולשה: יש מקרים שבהם יש לערך תחילית שמציינת לאיזה ארגון משויך מקור המידע החיצוני.
| תחילית | מקור המידע החיצוני |
|---|---|
| A- | מזהה באג ב-Android |
| QC- | מספר סימוכין של Qualcomm |
| M- | מספר סימוכין של MediaTek |
| N- | מספר סימוכין של NVIDIA |
| B- | מספר סימוכין של Broadcom |
| U- | מספר סימוכין של UNISOC |
5. מה המשמעות של הכוכבית (*) לצד מזהה הבאג ב-Android בעמודה הפניות למקור חיצוני?
אם הנתונים על הבעיה לא פורסמו לציבור הרחב, יש סימן * לצד מזהה ההפניה המתאים. העדכון לבעיה הזו בדרך כלל כלול במנהלי ההתקנים הבינאריים העדכניים ביותר למכשירי Pixel, שזמינים באתר המפתחים של Google.
6. למה חלק מנקודות החולשה מפורטות כאן וחלק בחדשות האבטחה של מכשירים או שותפים, כמו החדשות האבטחה של Pixel?
כדי שנוכל להצהיר על תיקוני האבטחה ברמה הכי עדכנית למכשירי Android אנחנו חייבים לתעד בעדכון האבטחה הזה את נקודות החולשה הרלוונטיות. אין צורך לתעד שם נקודות חולשה נוספות בשביל זה. יצרנים של מכשירי Android וערכות שבבים עשויים לפרסם גם פרטים על פגיעויות אבטחה שספציפיות למוצרים שלהם, כמו Google, Huawei, LGE, Motorola, Nokia או Samsung.
גרסאות
| הגרסה | תאריך | פתקים |
|---|---|---|
| 1.0 | 3 בנובמבר 2025 | Bulletin Published |
| 1.1 | 14 בנובמבר 2025 | עדכון האבטחה עודכן |