یادداشت‌های انتشار امنیتی Android 12L

منتشر شده در 22 فوریه 2022 | به روز شده در 8 سپتامبر 2022

این یادداشت‌های امنیتی اندروید حاوی جزئیاتی از آسیب‌پذیری‌های امنیتی است که دستگاه‌های Android را تحت تأثیر قرار می‌دهند که به عنوان بخشی از Android 12L مورد بررسی قرار می‌گیرند. دستگاه‌های Android 12L با سطح وصله امنیتی 2022-03-01 یا بالاتر در برابر این مشکلات محافظت می‌شوند (Android 12L، همانطور که در AOSP منتشر شده است، دارای سطح وصله امنیتی پیش‌فرض 01-03-2022 است). برای آشنایی با نحوه بررسی سطح وصله امنیتی دستگاه، به بررسی و به‌روزرسانی نسخه Android خود مراجعه کنید.

شرکای Android از همه مشکلات قبل از انتشار مطلع می شوند. وصله‌های کد منبع برای این مشکلات به عنوان بخشی از نسخه Android 12L در مخزن پروژه منبع باز Android (AOSP) منتشر می‌شوند.

ارزیابی شدت مشکلات در این یادداشت‌های انتشار بر اساس تأثیری است که احتمالاً بهره‌برداری از آسیب‌پذیری ممکن است بر دستگاه آسیب‌دیده داشته باشد، با این فرض که پلت‌فرم و کاهش خدمات برای اهداف توسعه خاموش شده‌اند یا در صورت دور زدن موفقیت‌آمیز انجام شوند.

ما هیچ گزارشی مبنی بر بهره برداری یا سوء استفاده فعال مشتری از این مشکلات گزارش شده جدید نداشته ایم. برای جزئیات بیشتر در مورد حفاظت های پلتفرم امنیتی اندروید و Google Play Protect که امنیت پلتفرم اندروید را بهبود می بخشد، به بخش کاهش دهنده های Android و Google Play Protect مراجعه کنید.

اطلاعیه ها

  • مشکلاتی که در این سند توضیح داده شده است به عنوان بخشی از Android 12L بررسی می شود. این اطلاعات برای مرجع و شفافیت ارائه شده است.
  • مایلیم از جامعه تحقیقاتی امنیتی برای کمک های مستمرشان در جهت ایمن سازی اکوسیستم اندروید قدردانی و تشکر کنیم .

کاهش خدمات اندروید و گوگل

این خلاصه‌ای از کاهش‌های ارائه شده توسط پلتفرم امنیتی Android و محافظت‌های خدماتی مانند Google Play Protect است. این قابلیت ها احتمال سوء استفاده موفقیت آمیز از آسیب پذیری های امنیتی در اندروید را کاهش می دهد.

  • بهره برداری از بسیاری از مسائل در اندروید با پیشرفت در نسخه های جدیدتر پلتفرم اندروید دشوارتر شده است. ما همه کاربران را تشویق می کنیم تا در صورت امکان به آخرین نسخه اندروید بروزرسانی کنند.
  • تیم امنیتی Android به طور فعال از طریق Google Play Protect برای سوء استفاده نظارت می کند و به کاربران در مورد برنامه های بالقوه مضر هشدار می دهد. Google Play Protect به طور پیش‌فرض در دستگاه‌های دارای سرویس‌های Google Mobile فعال است و به ویژه برای کاربرانی که برنامه‌هایی را از خارج از Google Play نصب می‌کنند، مهم است.

جزئیات آسیب پذیری اندروید 12L

بخش‌های زیر جزئیات آسیب‌پذیری‌های امنیتی رفع شده به عنوان بخشی از Android 12L را ارائه می‌کنند. آسیب‌پذیری‌ها تحت مؤلفه‌ای که بر آن تأثیر می‌گذارند گروه‌بندی می‌شوند و شامل جزئیاتی مانند CVE، مراجع مرتبط، نوع آسیب‌پذیری و شدت می‌شوند.

چارچوب

CVE مراجع تایپ کنید شدت
CVE-2021-39749 الف-205996115 EoP بالا
CVE-2021-39743 الف-201534884 EoP متوسط
CVE-2021-39746 الف-194696395 EoP متوسط
CVE-2021-39750 الف-206474016 EoP متوسط
CVE-2021-39752 الف-202756848 EoP متوسط
CVE-2022-20002 الف-198657657 EoP متوسط
CVE-2022-20203 الف-199745908 EoP متوسط
CVE-2021-39744 الف-192369136 شناسه متوسط
CVE-2021-39745 الف-206127671 شناسه متوسط
CVE-2021-39747 الف-208268457 شناسه متوسط
CVE-2021-39748 الف-203777141 شناسه متوسط
CVE-2021-39751 الف-172838801 شناسه متوسط
CVE-2021-39753 الف-200035185 شناسه متوسط
CVE-2021-39755 الف-204995407 شناسه متوسط
CVE-2021-39756 الف-184354287 شناسه متوسط
CVE-2021-39757 الف-176094662 شناسه متوسط
CVE-2021-39754 الف-207133709 ناشناس ناشناس

چارچوب رسانه ای

CVE مراجع تایپ کنید شدت
CVE-2021-39759 A-180200830 EoP متوسط
CVE-2021-39760 الف-194110526 شناسه متوسط
CVE-2021-39761 الف-179783181 شناسه متوسط
CVE-2021-39762 الف-210625816 شناسه متوسط

پلت فرم

CVE مراجع تایپ کنید شدت
CVE-2021-39741 الف-173567719 EoP متوسط
CVE-2021-39763 الف-199176115 EoP متوسط
CVE-2021-39764 الف-170642995 EoP متوسط
CVE-2021-39767 الف-201308542 EoP متوسط
CVE-2021-39768 A-202017876 EoP متوسط
CVE-2021-39771 الف-198661951 EoP متوسط
CVE-2021-25393 الف-180518134 شناسه متوسط
CVE-2021-39739 الف-184525194 شناسه متوسط
CVE-2021-39740 الف-209965112 شناسه متوسط
CVE-2021-39742 الف-186405602 شناسه متوسط
CVE-2021-39765 الف-201535427 شناسه متوسط
CVE-2021-39766 الف-198296421 شناسه متوسط
CVE-2021-39769 الف-193663287 شناسه متوسط
CVE-2021-39770 الف-193033501 شناسه متوسط

سیستم

CVE مراجع تایپ کنید شدت
CVE-2021-39776 الف-192614125 EoP بالا
CVE-2021-39787 الف-202506934 EoP بالا
CVE-2021-39772 الف-181962322 EoP متوسط
CVE-2021-39780 الف-204992293 EoP متوسط
CVE-2021-39781 الف-195311502 EoP متوسط
CVE-2021-39782 الف-202760015 EoP متوسط
CVE-2021-39783 الف-197960597 EoP متوسط
CVE-2021-39784 الف-200163477 EoP متوسط
CVE-2021-39786 الف-192551247 EoP متوسط
CVE-2021-39789 الف-203880906 EoP متوسط
CVE-2021-39790 الف-186405146 EoP متوسط
CVE-2021-39773 الف-191276656 شناسه متوسط
CVE-2021-39775 الف-206465854 شناسه متوسط
CVE-2021-39777 الف-194743207 شناسه متوسط
CVE-2021-39778 الف-196406138 شناسه متوسط
CVE-2021-39779 A-190400974 شناسه متوسط
CVE-2021-39788 A-191768014 شناسه متوسط
CVE-2021-39791 الف-194112606 شناسه متوسط
CVE-2021-39774 الف-205989472 DoS متوسط

جزئیات آسیب پذیری اضافی

بخش زیر جزئیات آسیب‌پذیری‌های امنیتی را که برای اهداف افشا ارائه شده‌اند، ارائه می‌کند. این مسائل برای انطباق با SPL لازم نیست.

Android TV

CVE مراجع تایپ کنید شدت
CVE-2021-1000 الف-185190688 EoP متوسط
CVE-2021-1033 الف-185247656 EoP متوسط

پرسش و پاسخ متداول

این بخش به سوالات متداولی که ممکن است پس از خواندن این بولتن رخ دهد پاسخ می دهد.

1. چگونه تشخیص دهم که آیا دستگاه من برای رفع این مشکلات به روز شده است؟

برای آشنایی با نحوه بررسی سطح وصله امنیتی دستگاه، به بررسی و به‌روزرسانی نسخه Android خود مراجعه کنید.

Android 12L، همانطور که در AOSP منتشر شده است، دارای یک وصله امنیتی پیش فرض 01-03-2022 است. دستگاه‌های اندرویدی دارای Android 12L و دارای وصله امنیتی 01-03-2022 یا جدیدتر، همه مشکلات موجود در این یادداشت‌های انتشار امنیتی را برطرف می‌کنند.

2. ورودی های ستون Type به چه معناست؟

ورودی های ستون نوع جدول جزئیات آسیب پذیری به طبقه بندی آسیب پذیری امنیتی اشاره دارد.

مخفف تعریف
RCE اجرای کد از راه دور
EoP بالا بردن امتیاز
شناسه افشای اطلاعات
DoS انکار خدمات
N/A طبقه بندی در دسترس نیست

3. ورودی های ستون References به چه معناست؟

ورودی‌های زیر ستون مراجع جدول جزئیات آسیب‌پذیری ممکن است حاوی پیشوندی باشد که سازمانی را که مقدار مرجع به آن تعلق دارد، مشخص می‌کند.

پیشوند مرجع
الف- شناسه باگ اندروید

نسخه ها

نسخه تاریخ یادداشت ها
1.0 22 فوریه 2022 یادداشت های امنیتی منتشر شد
1.1 27 مه 2022 لیست مسائل به روز شد
1.2 8 سپتامبر 2022 لیست مسائل به روز شد