กระดานข่าวการอัปเดต Android Automotive OS (AAOS) มีรายละเอียดเกี่ยวกับช่องโหว่ด้านความปลอดภัยที่ส่งผลต่อแพลตฟอร์ม Android Automotive OS การอัปเดต AAOS แบบเต็มประกอบด้วยระดับแพตช์ความปลอดภัย 05-07-2023 หรือใหม่กว่าจาก กระดานข่าวความปลอดภัยของ Android เดือนกรกฎาคม 2023 นอกเหนือจากปัญหาทั้งหมดในกระดานข่าวนี้
เราขอแนะนำให้ลูกค้าทุกคนยอมรับการอัปเดตเหล่านี้ไปยังอุปกรณ์ของตน
ปัญหาในกระดานข่าวนี้เป็นช่องโหว่ด้านความปลอดภัยสูงในส่วนประกอบแพ็คเกจที่อาจทำให้แอปพลิเคชันที่เป็นอันตรายฝังป้ายบริการที่ล้นพรอมต์ผู้ใช้ดั้งเดิม และอาจมีข้อมูลที่ทำให้เกิดความเข้าใจผิดเป็นข้อความระบบเพื่อยืนยันผู้ใช้ การประเมินความรุนแรง นั้นขึ้นอยู่กับผลกระทบที่การใช้ประโยชน์จากช่องโหว่ที่อาจเกิดขึ้นกับอุปกรณ์ที่ได้รับผลกระทบ โดยถือว่าแพลตฟอร์มและบริการบรรเทาผลกระทบถูกปิดเพื่อวัตถุประสงค์ในการพัฒนาหรือหากข้ามได้สำเร็จ
ประกาศ
- นอกเหนือจากช่องโหว่ด้านความปลอดภัยที่อธิบายไว้ในกระดานข่าวความปลอดภัยของ Android เดือนกรกฎาคม 2023 แล้ว กระดานข่าวการอัปเดต Android Automotive OS เดือนกรกฎาคม 2023 ยังมีแพตช์สำหรับช่องโหว่ AAOS โดยเฉพาะตามที่อธิบายไว้ด้านล่าง
รายละเอียดช่องโหว่ระดับแพทช์รักษาความปลอดภัย 07-07-2023
ในส่วนด้านล่าง เราจะให้รายละเอียดเกี่ยวกับช่องโหว่ด้านความปลอดภัยแต่ละจุดที่ใช้กับระดับแพตช์ 2023-07-01 ช่องโหว่จะถูกจัดกลุ่มภายใต้องค์ประกอบที่ได้รับผลกระทบ ปัญหาต่างๆ ได้รับการอธิบายไว้ในตารางด้านล่างและรวมถึง CVE ID, ข้อมูลอ้างอิงที่เกี่ยวข้อง, ประเภทของช่องโหว่ , ความรุนแรง และเวอร์ชัน AOSP ที่อัปเดต (หากมี) เมื่อพร้อมใช้งาน เราจะเชื่อมโยงการเปลี่ยนแปลงสาธารณะที่แก้ไขปัญหากับรหัสข้อบกพร่อง เช่น รายการการเปลี่ยนแปลง AOSP เมื่อการเปลี่ยนแปลงหลายอย่างเกี่ยวข้องกับจุดบกพร่องจุดเดียว การอ้างอิงเพิ่มเติมจะเชื่อมโยงกับหมายเลขที่ตามหลังรหัสจุดบกพร่อง อุปกรณ์ที่ใช้ Android 10 ขึ้นไปอาจได้รับการอัปเดตด้านความปลอดภัย รวมถึง การอัปเดตระบบ Google Play
แพ็คเกจ
ช่องโหว่ในส่วนนี้อาจทำให้แอปพลิเคชันที่เป็นอันตรายฝังป้ายกำกับบริการที่ล้นจากพรอมต์ผู้ใช้เดิม และอาจมีข้อมูลที่ทำให้เกิดความเข้าใจผิดเป็นข้อความระบบเพื่อยืนยันผู้ใช้ซีวีอี | อ้างอิง | พิมพ์ | ความรุนแรง | อัปเดตเวอร์ชัน AOSP |
---|---|---|---|---|
CVE-2023-21260 | A-259384309 | อีโอพี | สูง | 11, 12, 12 ลิตร, 13 |
คำถามและคำตอบทั่วไป
ส่วนนี้จะตอบคำถามทั่วไปที่อาจเกิดขึ้นหลังจากอ่านกระดานข่าวนี้
1. ฉันจะทราบได้อย่างไรว่าอุปกรณ์ของฉันได้รับการอัปเดตเพื่อแก้ไขปัญหาเหล่านี้หรือไม่
หากต้องการเรียนรู้วิธีตรวจสอบระดับแพตช์ความปลอดภัยของอุปกรณ์ โปรดอ่านคำแนะนำใน กำหนดการอัปเดตอุปกรณ์ Google
- ระดับแพตช์รักษาความปลอดภัยปี 2023-07-01 หรือใหม่กว่าจะแก้ไขปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัยปี 2023-07-01
ผู้ผลิตอุปกรณ์ที่มีการอัปเดตเหล่านี้ควรตั้งค่าระดับสตริงโปรแกรมแก้ไขเป็น:
- [ro.build.version.security_patch]:[2023-07-01]
สำหรับอุปกรณ์บางรุ่นที่ใช้ Android 10 หรือใหม่กว่า การอัปเดตระบบ Google Play จะมีสตริงวันที่ที่ตรงกับระดับแพตช์ความปลอดภัย 2023-07-01 โปรดดู บทความนี้ สำหรับรายละเอียดเพิ่มเติมเกี่ยวกับวิธีการติดตั้งการอัปเดตความปลอดภัย
2. รายการในคอลัมน์ ประเภท หมายถึงอะไร
รายการในคอลัมน์ ประเภท ของตารางรายละเอียดช่องโหว่อ้างอิงถึงการจัดประเภทของช่องโหว่ด้านความปลอดภัย
คำย่อ | คำนิยาม |
---|---|
อาร์ซีอี | การเรียกใช้โค้ดจากระยะไกล |
อีโอพี | การยกระดับสิทธิพิเศษ |
บัตรประจำตัวประชาชน | การเปิดเผยข้อมูล |
ดอส | การปฏิเสธการให้บริการ |
ไม่มี | ไม่มีการจำแนกประเภท |
3. รายการในคอลัมน์ อ้างอิง หมายถึงอะไร
รายการภายใต้คอลัมน์ การอ้างอิง ของตารางรายละเอียดช่องโหว่อาจมีคำนำหน้าที่ระบุองค์กรที่เป็นเจ้าของค่าอ้างอิง
คำนำหน้า | อ้างอิง |
---|---|
เอ- | รหัสข้อบกพร่องของ Android |
การควบคุมคุณภาพ- | หมายเลขอ้างอิงควอลคอมม์ |
เอ็ม- | หมายเลขอ้างอิง MediaTek |
น- | หมายเลขอ้างอิง NVIDIA |
ข- | หมายเลขอ้างอิงของ Broadcom |
ยู- | หมายเลขอ้างอิง UNISOC |
4. * ถัดจาก ID บั๊กของ Android ในคอลัมน์ References หมายความว่าอย่างไร
ปัญหาที่ไม่เปิดเผยต่อสาธารณะจะมี * ถัดจากรหัสอ้างอิงที่เกี่ยวข้อง โดยทั่วไปการอัปเดตสำหรับปัญหาดังกล่าวจะอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Pixel ที่พร้อมใช้งานจาก ไซต์ Google Developer
5. เหตุใดช่องโหว่ด้านความปลอดภัยจึงถูกแยกระหว่างกระดานข่าวนี้และกระดานข่าวความปลอดภัยของอุปกรณ์ / พันธมิตร เช่น กระดานข่าว Pixel
ช่องโหว่ด้านความปลอดภัยที่ได้รับการบันทึกไว้ในกระดานข่าวความปลอดภัยนี้จำเป็นต้องประกาศระดับแพตช์ความปลอดภัยล่าสุดบนอุปกรณ์ Android ช่องโหว่ด้านความปลอดภัยเพิ่มเติมที่บันทึกไว้ในกระดานข่าวความปลอดภัยของอุปกรณ์ / พันธมิตรไม่จำเป็นสำหรับการประกาศระดับแพตช์ความปลอดภัย ผู้ผลิตอุปกรณ์ Android และชิปเซ็ตอาจเผยแพร่รายละเอียดช่องโหว่ด้านความปลอดภัยสำหรับผลิตภัณฑ์ของตนโดยเฉพาะ เช่น Google , Huawei , LGE , Motorola , Nokia หรือ Samsung
รุ่นต่างๆ
เวอร์ชัน | วันที่ | หมายเหตุ |
---|---|---|
1.0 | 5 กรกฎาคม 2023 | เผยแพร่แถลงการณ์แล้ว |