Wear OS Security Bulletin พฤษภาคม 2024

เผยแพร่เมื่อวันที่ 6 พฤษภาคม 2024

กระดานข่าวความปลอดภัยของ Wear OS ประกอบด้วยรายละเอียดช่องโหว่ด้านความปลอดภัยที่ส่งผลต่อแพลตฟอร์ม Wear OS การอัปเดต Wear OS แบบเต็มประกอบด้วยระดับแพตช์ความปลอดภัย 2024-05-05 หรือใหม่กว่าจาก กระดานข่าวความปลอดภัยของ Android เดือนพฤษภาคม 2024 นอกเหนือจากปัญหาทั้งหมดในกระดานข่าวนี้

เราขอแนะนำให้ลูกค้าทุกคนยอมรับการอัปเดตเหล่านี้ไปยังอุปกรณ์ของตน

ปัญหาที่ร้ายแรงที่สุดคือช่องโหว่ด้านความปลอดภัยที่สำคัญในส่วนประกอบ Framework ซึ่งอาจนำไปสู่การเพิ่มสิทธิ์ในเครื่องโดยแอปที่เป็นอันตราย โดยไม่จำเป็นต้องมีสิทธิ์ในการดำเนินการเพิ่มเติม การประเมินความรุนแรง นั้นขึ้นอยู่กับผลกระทบที่การใช้ประโยชน์จากช่องโหว่ที่อาจเกิดขึ้นกับอุปกรณ์ที่ได้รับผลกระทบ โดยถือว่าแพลตฟอร์มและบริการบรรเทาผลกระทบถูกปิดเพื่อวัตถุประสงค์ในการพัฒนาหรือหากข้ามได้สำเร็จ

ประกาศ

  • นอกเหนือจากช่องโหว่ด้านความปลอดภัยที่อธิบายไว้ในกระดานข่าวความปลอดภัยของ Android เดือนพฤษภาคม 2024 แล้ว กระดานข่าวความปลอดภัยของ Wear OS เดือนพฤษภาคม 2024 ยังมีแพตช์สำหรับช่องโหว่ของ Wear OS โดยเฉพาะตามที่อธิบายไว้ด้านล่าง

รายละเอียดช่องโหว่ระดับแพทช์รักษาความปลอดภัย 2024-05-01

ในส่วนด้านล่าง เราจะให้รายละเอียดเกี่ยวกับช่องโหว่ด้านความปลอดภัยแต่ละจุดที่ใช้กับระดับแพตช์ 2024-05-01 ช่องโหว่จะถูกจัดกลุ่มภายใต้องค์ประกอบที่ได้รับผลกระทบ ปัญหาต่างๆ ได้รับการอธิบายไว้ในตารางด้านล่างและรวมถึง CVE ID, ข้อมูลอ้างอิงที่เกี่ยวข้อง, ประเภทของช่องโหว่ , ความรุนแรง และเวอร์ชัน AOSP ที่อัปเดต (หากมี) เมื่อพร้อมใช้งาน เราจะเชื่อมโยงการเปลี่ยนแปลงสาธารณะที่แก้ไขปัญหากับรหัสข้อบกพร่อง เช่น รายการการเปลี่ยนแปลง AOSP เมื่อการเปลี่ยนแปลงหลายอย่างเกี่ยวข้องกับจุดบกพร่องจุดเดียว การอ้างอิงเพิ่มเติมจะเชื่อมโยงกับหมายเลขที่ตามหลังรหัสจุดบกพร่อง อุปกรณ์ที่ใช้ Android 10 ขึ้นไปอาจได้รับการอัปเดตด้านความปลอดภัย รวมถึง การอัปเดตระบบ Google Play

กรอบ

ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจนำไปสู่การเพิ่มสิทธิ์ในเครื่องโดยแอปที่เป็นอันตราย โดยไม่จำเป็นต้องมีสิทธิ์ในการดำเนินการเพิ่มเติม

ซีวีอี อ้างอิง พิมพ์ ความรุนแรง อัปเดตเวอร์ชัน AOSP
CVE-2024-23700 A-310634539 บัตรประจำตัวประชาชน วิกฤต 13
CVE-2024-23703 A-268737818 อีโอพี สูง 13

ระบบ

ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจนำไปสู่การเพิ่มระดับสิทธิ์ในเครื่อง โดยไม่จำเป็นต้องมีสิทธิ์ในการดำเนินการเพิ่มเติม

ซีวีอี อ้างอิง พิมพ์ ความรุนแรง อัปเดตเวอร์ชัน AOSP
CVE-2024-23701 A-300267802 อีโอพี สูง 13
CVE-2024-23702 A-290819041 อีโอพี สูง 13

คำถามและคำตอบทั่วไป

ส่วนนี้จะตอบคำถามทั่วไปที่อาจเกิดขึ้นหลังจากอ่านกระดานข่าวนี้

1. ฉันจะทราบได้อย่างไรว่าอุปกรณ์ของฉันได้รับการอัปเดตเพื่อแก้ไขปัญหาเหล่านี้หรือไม่

หากต้องการเรียนรู้วิธีตรวจสอบระดับแพตช์ความปลอดภัยของอุปกรณ์ โปรดอ่านคำแนะนำใน กำหนดการอัปเดตอุปกรณ์ Google

  • ระดับแพตช์รักษาความปลอดภัยปี 2024-05-01 หรือใหม่กว่าจะแก้ไขปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัยปี 2024-05-01

ผู้ผลิตอุปกรณ์ที่มีการอัปเดตเหล่านี้ควรตั้งค่าระดับสตริงโปรแกรมแก้ไขเป็น:

  • [ro.build.version.security_patch]:[2024-05-01]

สำหรับอุปกรณ์บางรุ่นที่ใช้ Android 10 หรือใหม่กว่า การอัปเดตระบบ Google Play จะมีสตริงวันที่ที่ตรงกับระดับแพตช์ความปลอดภัย 2024-05-01 โปรดดู บทความนี้ สำหรับรายละเอียดเพิ่มเติมเกี่ยวกับวิธีการติดตั้งการอัปเดตความปลอดภัย

2. รายการในคอลัมน์ ประเภท หมายถึงอะไร

รายการในคอลัมน์ ประเภท ของตารางรายละเอียดช่องโหว่อ้างอิงถึงการจัดประเภทของช่องโหว่ด้านความปลอดภัย

คำย่อ คำนิยาม
อาร์ซีอี การเรียกใช้โค้ดจากระยะไกล
อีโอพี การยกระดับสิทธิพิเศษ
บัตรประจำตัวประชาชน การเปิดเผยข้อมูล
ดอส การปฏิเสธการให้บริการ
ไม่มี ไม่มีการจำแนกประเภท

3. รายการในคอลัมน์ อ้างอิง หมายถึงอะไร

รายการภายใต้คอลัมน์ การอ้างอิง ของตารางรายละเอียดช่องโหว่อาจมีคำนำหน้าที่ระบุองค์กรที่เป็นเจ้าของค่าอ้างอิง

คำนำหน้า อ้างอิง
เอ- รหัสข้อบกพร่องของ Android
การควบคุมคุณภาพ- หมายเลขอ้างอิงควอลคอมม์
เอ็ม- หมายเลขอ้างอิง MediaTek
น- หมายเลขอ้างอิง NVIDIA
บี- หมายเลขอ้างอิงของ Broadcom
ยู- หมายเลขอ้างอิง UNISOC

4. * ถัดจาก ID บั๊กของ Android ในคอลัมน์ References หมายความว่าอย่างไร

ปัญหาที่ไม่เปิดเผยต่อสาธารณะจะมี * ถัดจากรหัสอ้างอิงที่เกี่ยวข้อง โดยทั่วไปการอัปเดตสำหรับปัญหาดังกล่าวจะอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Pixel ที่พร้อมใช้งานจาก ไซต์ Google Developer

5. เหตุใดช่องโหว่ด้านความปลอดภัยจึงถูกแยกระหว่างกระดานข่าวนี้และกระดานข่าวความปลอดภัยของอุปกรณ์/พันธมิตร เช่น กระดานข่าว Pixel

ช่องโหว่ด้านความปลอดภัยที่ได้รับการบันทึกไว้ในกระดานข่าวความปลอดภัยนี้จำเป็นต้องประกาศระดับแพตช์ความปลอดภัยล่าสุดบนอุปกรณ์ Android ช่องโหว่ด้านความปลอดภัยเพิ่มเติมที่ได้รับการบันทึกไว้ในกระดานข่าวความปลอดภัยของอุปกรณ์/คู่ค้านั้นไม่จำเป็นสำหรับการประกาศระดับแพตช์ความปลอดภัย ผู้ผลิตอุปกรณ์ Android และชิปเซ็ตอาจเผยแพร่รายละเอียดช่องโหว่ด้านความปลอดภัยสำหรับผลิตภัณฑ์ของตนโดยเฉพาะ เช่น Google , Huawei , LGE , Motorola , Nokia หรือ Samsung

รุ่นต่างๆ

เวอร์ชัน วันที่ หมายเหตุ
1.0 6 พฤษภาคม 2024 เผยแพร่แถลงการณ์แล้ว