กระดานข่าวความปลอดภัยของ Android—มิถุนายน 2021

Published มิถุนายน 7, 2021 | อัปเดตเมื่อ 8 มิถุนายน 2564

กระดานข่าวความปลอดภัยของ Android มีรายละเอียดของช่องโหว่ด้านความปลอดภัยที่ส่งผลต่ออุปกรณ์ Android ระดับแพตช์ความปลอดภัยปี 2021-06-05 หรือใหม่กว่าช่วยแก้ปัญหาเหล่านี้ทั้งหมด เรียนรู้วิธีการตรวจสอบระดับโปรแกรมปรับปรุงความปลอดภัยของอุปกรณ์ให้ดูที่ การตรวจสอบและอัปเดตเวอร์ชัน Android ของคุณ

พันธมิตร Android จะได้รับแจ้งปัญหาทั้งหมดอย่างน้อยหนึ่งเดือนก่อนเผยแพร่ แพทช์ซอร์สโค้ดสำหรับปัญหาเหล่านี้ได้รับการเผยแพร่ไปยังที่เก็บ Android Open Source Project (AOSP) และเชื่อมโยงจากกระดานข่าวสารนี้ กระดานข่าวนี้ยังรวมถึงลิงก์ไปยังแพตช์นอก AOSP

ปัญหาที่ร้ายแรงที่สุดคือช่องโหว่ด้านความปลอดภัยที่สำคัญในองค์ประกอบของระบบ ซึ่งสามารถเปิดใช้งานผู้โจมตีจากระยะไกลโดยใช้การส่งสัญญาณที่ออกแบบมาเป็นพิเศษเพื่อรันโค้ดโดยอำเภอใจภายในบริบทของกระบวนการที่มีสิทธิพิเศษ การประเมินความรุนแรง จะขึ้นอยู่กับผลกระทบที่การใช้ประโยชน์จากช่องโหว่ดังกล่าวอาจจะมีอุปกรณ์ที่ได้รับผลกระทบสมมติว่าแพลตฟอร์มและบริการบรรเทาถูกปิดเพื่อการพัฒนาหรือถ้าข้ามประสบความสำเร็จ

ประกาศ

  • สำหรับเดือนกรกฎาคม กระดานข่าวความปลอดภัยสาธารณะของ Android จะเปิดตัวในวันที่ 7 กรกฎาคม 2021

อ้างถึง Android และ Google Play บรรเทาป้องกัน ส่วนสำหรับรายละเอียดเกี่ยวกับ Android คุ้มครองแพลตฟอร์มการรักษาความปลอดภัย และ Google Play ป้องกันซึ่งการปรับปรุงการรักษาความปลอดภัยของแพลตฟอร์ม Android

การลดการบริการของ Android และ Google

นี่คือบทสรุปของการบรรเทาที่มีให้โดย แพลตฟอร์ม Android การรักษาความปลอดภัย และการบริการการคุ้มครองเช่น Google Play ป้องกัน ความสามารถเหล่านี้ลดโอกาสที่ช่องโหว่ด้านความปลอดภัยจะถูกโจมตีบน Android ได้สำเร็จ

  • การใช้ประโยชน์จากปัญหามากมายบน Android ทำได้ยากขึ้นด้วยการปรับปรุงในแพลตฟอร์ม Android เวอร์ชันใหม่กว่า เราสนับสนุนให้ผู้ใช้ทุกคนอัปเดตเป็น Android เวอร์ชันล่าสุดหากเป็นไปได้
  • ทีมรักษาความปลอดภัยของ Android แข็งขันตรวจสอบการละเมิดผ่าน Google Play ป้องกัน และเตือนผู้ใช้เกี่ยวกับ การประยุกต์ใช้งานที่อาจเป็นอันตราย Google Play ป้องกันถูกเปิดใช้งานบนอุปกรณ์ที่มี บริการของ Google มือถือ และเป็นสิ่งสำคัญโดยเฉพาะอย่างยิ่งสำหรับผู้ใช้ที่ติดตั้งแอปจากด้านนอกของ Google Play

รายละเอียดช่องโหว่ระดับแพตช์ความปลอดภัย 2021-06-01

ในส่วนด้านล่าง เราได้ให้รายละเอียดเกี่ยวกับช่องโหว่ด้านความปลอดภัยแต่ละจุดที่ใช้กับระดับแพตช์ 2021-06-01 ช่องโหว่จะถูกจัดกลุ่มตามองค์ประกอบที่ได้รับผลกระทบ ปัญหาที่อธิบายไว้ในตารางด้านล่างนี้และรวมถึง CVE รหัสอ้างอิงที่เกี่ยวข้อง ประเภทของความเสี่ยง , ความรุนแรง และการปรับปรุงรุ่น AOSP (ถ้ามี) หากมี เราจะเชื่อมโยงการเปลี่ยนแปลงสาธารณะที่แก้ไขปัญหากับรหัสจุดบกพร่อง เช่น รายการการเปลี่ยนแปลง AOSP เมื่อการเปลี่ยนแปลงหลายรายการเกี่ยวข้องกับจุดบกพร่องเดียว การอ้างอิงเพิ่มเติมจะเชื่อมโยงกับหมายเลขตามรหัสจุดบกพร่อง อุปกรณ์ที่มี Android 10 และต่อมาอาจได้รับการปรับปรุงการรักษาความปลอดภัยเช่นเดียวกับ การปรับปรุงระบบของ Google Play

รันไทม์ของ Android

ช่องโหว่ในส่วนนี้อาจทำให้ผู้โจมตีในพื้นที่สามารถรันโค้ดตามอำเภอใจและข้ามข้อกำหนดการโต้ตอบของผู้ใช้เพื่อเข้าถึงการอนุญาตเพิ่มเติม

CVE อ้างอิง พิมพ์ ความรุนแรง อัปเดตเวอร์ชัน AOSP
CVE-2021-0511 A-178055795 [ 2 ] [ 3 ] EoP สูง 9, 10, 11

กรอบ

ช่องโหว่ในส่วนนี้อาจนำไปสู่การเปิดเผยข้อมูลในเครื่องของการอนุญาตข้ามผู้ใช้โดยไม่ต้องมีสิทธิ์ดำเนินการเพิ่มเติม

CVE อ้างอิง พิมพ์ ความรุนแรง อัปเดตเวอร์ชัน AOSP
CVE-2021-0521 A-174661955 NS สูง 8.1, 9, 10, 11

กรอบสื่อ

ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถข้ามข้อกำหนดการโต้ตอบของผู้ใช้เพื่อเข้าถึงการอนุญาตเพิ่มเติมได้

CVE อ้างอิง พิมพ์ ความรุนแรง อัปเดตเวอร์ชัน AOSP
CVE-2021-0508 A-176444154 EoP สูง 8.1, 9, 10, 11
CVE-2021-0509 A-176444161 [ 2 ] EoP สูง 8.1, 9, 10, 11
CVE-2021-0510 A-176444622 EoP สูง 8.1, 9, 10, 11
CVE-2021-0520 A-176237595 EoP สูง 10, 11

ระบบ

ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจเปิดใช้งานผู้โจมตีระยะไกลโดยใช้การส่งสัญญาณที่สร้างขึ้นเป็นพิเศษเพื่อรันโค้ดโดยอำเภอใจภายในบริบทของกระบวนการที่มีสิทธิพิเศษ

CVE อ้างอิง พิมพ์ ความรุนแรง อัปเดตเวอร์ชัน AOSP
CVE-2021-0507 A-181860042 RCE วิกฤต 8.1, 9, 10, 11
CVE-2021-0516 A-181660448 EoP วิกฤต 8.1, 9, 10, 11
CVE-2021-0505 A-179975048 EoP สูง 11
CVE-2021-0506 A-181962311 EoP สูง 8.1, 9, 10, 11
CVE-2021-0523 A-174047492 EoP สูง 10, 11
CVE-2021-0504 A-179162665 NS สูง 11
CVE-2021-0517 A-179053823 NS สูง 11
CVE-2021-0522 A-174182139 NS สูง 9, 10, 11

การอัปเดตระบบ Google Play

ไม่มีปัญหาด้านความปลอดภัยในการอัปเดตระบบ Google Play (Project Mainline) ในเดือนนี้

รายละเอียดช่องโหว่ระดับแพตช์ความปลอดภัย 2021-06-05

ในส่วนด้านล่าง เราได้ให้รายละเอียดเกี่ยวกับช่องโหว่ด้านความปลอดภัยแต่ละรายการที่ใช้กับระดับแพตช์ 2021-06-05 ช่องโหว่จะถูกจัดกลุ่มตามองค์ประกอบที่ได้รับผลกระทบ ปัญหาที่อธิบายไว้ในตารางด้านล่างนี้และรวมถึง CVE รหัสอ้างอิงที่เกี่ยวข้อง ประเภทของความเสี่ยง , ความรุนแรง และการปรับปรุงรุ่น AOSP (ถ้ามี) หากมี เราจะเชื่อมโยงการเปลี่ยนแปลงสาธารณะที่แก้ไขปัญหากับรหัสจุดบกพร่อง เช่น รายการการเปลี่ยนแปลง AOSP เมื่อการเปลี่ยนแปลงหลายรายการเกี่ยวข้องกับจุดบกพร่องเดียว การอ้างอิงเพิ่มเติมจะเชื่อมโยงกับหมายเลขตามรหัสจุดบกพร่อง

กรอบ

ช่องโหว่ในส่วนนี้อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถข้ามข้อกำหนดการโต้ตอบของผู้ใช้เพื่อเข้าถึงการอนุญาตเพิ่มเติมได้

CVE อ้างอิง พิมพ์ ความรุนแรง อัปเดตเวอร์ชัน AOSP
CVE-2021-0513 A-156090809 EoP สูง 8.1, 9, 10, 11

ระบบ

ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจเปิดใช้งานผู้โจมตีระยะไกลโดยใช้การส่งสัญญาณที่สร้างขึ้นเป็นพิเศษเพื่อเข้าถึงการอนุญาตเพิ่มเติม

CVE อ้างอิง พิมพ์ ความรุนแรง อัปเดตเวอร์ชัน AOSP
CVE-2020-26555 A-174626251 EoP สูง 8.1, 9, 10, 11
CVE-2020-26558 A-174886838 EoP สูง 8.1, 9, 10, 11
CVE-2021-0478 A-169255797 EoP สูง 8.1, 9, 10, 11

ส่วนประกอบเคอร์เนล

ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจนำไปสู่การยกระดับสิทธิ์ในเครื่องโดยไม่จำเป็นต้องมีสิทธิ์ดำเนินการเพิ่มเติม

CVE อ้างอิง พิมพ์ ความรุนแรง ส่วนประกอบ
CVE-2020-14305 A-174904512
ต้นน้ำเคอร์เนล
EoP สูง วอยซ์โอเวอร์ IP H.323
CVE-2021-0512 A-173843328
ต้นน้ำเคอร์เนล
EoP สูง HID

ส่วนประกอบ MediaTek

ช่องโหว่เหล่านี้ส่งผลกระทบต่อองค์ประกอบ MediaTek และรายละเอียดเพิ่มเติมสามารถดูได้โดยตรงจาก MediaTek การประเมินความรุนแรงของปัญหาเหล่านี้จัดทำโดย MediaTek โดยตรง

CVE อ้างอิง ความรุนแรง ส่วนประกอบ
CVE-2021-0525 A-185193929
M-ALPS05403499 *
สูง ไดรเวอร์การจัดการหน่วยความจำ
CVE-2021-0526 A-185195264
M-ALPS05403499 *
สูง ไดรเวอร์การจัดการหน่วยความจำ
CVE-2021-0527 A-185193931
M-ALPS05403499 *
สูง ไดรเวอร์การจัดการหน่วยความจำ
CVE-2021-0528 A-185195266
M-ALPS05403499 *
สูง ไดรเวอร์การจัดการหน่วยความจำ
CVE-2021-0529 A-185195268
M-ALPS05403499 *
สูง ไดรเวอร์การจัดการหน่วยความจำ
CVE-2021-0530 A-185196175
M-ALPS05403499 *
สูง ไดรเวอร์การจัดการหน่วยความจำ
CVE-2021-0531 A-185195272
M-ALPS05403499 *
สูง ไดรเวอร์การจัดการหน่วยความจำ
CVE-2021-0532 A-185196177
M-ALPS05403499 *
สูง ไดรเวอร์การจัดการหน่วยความจำ
CVE-2021-0533 A-185193932
M-ALPS05403499 *
สูง ไดรเวอร์การจัดการหน่วยความจำ

ส่วนประกอบ Qualcomm

ช่องโหว่นี้ส่งผลต่อส่วนประกอบของ Qualcomm และมีการอธิบายรายละเอียดเพิ่มเติมในกระดานข่าวด้านความปลอดภัยของ Qualcomm หรือการแจ้งเตือนด้านความปลอดภัยที่เหมาะสม การประเมินความรุนแรงของปัญหานี้จัดทำโดย Qualcomm โดยตรง

CVE อ้างอิง ความรุนแรง ส่วนประกอบ
CVE-2020-11267 A-168918351
QC-CR # 2723768 [ 2 ] [ 3 ]
สูง ความปลอดภัย

ส่วนประกอบโอเพ่นซอร์สของ Qualcomm

ช่องโหว่เหล่านี้ส่งผลกระทบต่อส่วนประกอบโอเพ่นซอร์สของ Qualcomm และได้อธิบายไว้ในรายละเอียดเพิ่มเติมในกระดานข่าวความปลอดภัยของ Qualcomm หรือการแจ้งเตือนด้านความปลอดภัย การประเมินความรุนแรงของปัญหาเหล่านี้จัดทำโดย Qualcomm โดยตรง

CVE อ้างอิง ความรุนแรง ส่วนประกอบ
CVE-2020-11176 A-175038159 * วิกฤต ส่วนประกอบที่ปิดแหล่งที่มา
CVE-2020-11291 A-175038624 * วิกฤต ส่วนประกอบที่ปิดแหล่งที่มา
CVE-2020-26558 A-179039983 * วิกฤต ส่วนประกอบที่ปิดแหล่งที่มา
CVE-2020-11292 A-171309888 * สูง ส่วนประกอบที่ปิดแหล่งที่มา
CVE-2020-11298 A-175038385 * สูง ส่วนประกอบที่ปิดแหล่งที่มา
CVE-2020-11304 A-167567084 * สูง ส่วนประกอบที่ปิดแหล่งที่มา
CVE-2020-11306 A-175038981 * สูง ส่วนประกอบที่ปิดแหล่งที่มา
CVE-2020-26555 A-181682537 * สูง ส่วนประกอบที่ปิดแหล่งที่มา
CVE-2021-1900 A-181682536 * สูง ส่วนประกอบที่ปิดแหล่งที่มา
CVE-2021-1925 A-179040020 * สูง ส่วนประกอบที่ปิดแหล่งที่มา
CVE-2021-1937 A-181682513 * สูง ส่วนประกอบที่ปิดแหล่งที่มา

คำถามและคำตอบทั่วไป

ส่วนนี้จะตอบคำถามทั่วไปที่อาจเกิดขึ้นหลังจากอ่านกระดานข่าวนี้

1. ฉันจะทราบได้อย่างไรว่าอุปกรณ์ของฉันได้รับการอัปเดตเพื่อแก้ไขปัญหาเหล่านี้หรือไม่

เรียนรู้วิธีการตรวจสอบระดับโปรแกรมปรับปรุงความปลอดภัยของอุปกรณ์ให้ดูที่ การตรวจสอบและอัปเดตเวอร์ชัน Android ของคุณ

  • ระดับแพตช์ความปลอดภัย 2021-06-01 หรือใหม่กว่า แก้ไขปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัย 2021-06-01
  • ระดับแพตช์ความปลอดภัย 2021-06-05 หรือใหม่กว่า แก้ไขปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัย 2021-06-05 และระดับแพตช์ก่อนหน้าทั้งหมด

ผู้ผลิตอุปกรณ์ที่มีการอัปเดตเหล่านี้ควรตั้งค่าระดับสตริงของโปรแกรมแก้ไขเป็น:

  • [ro.build.version.security_patch]:[2021-06-01]
  • [ro.build.version.security_patch]:[2021-06-05]

สำหรับอุปกรณ์บางรุ่นที่ใช้ Android 10 หรือใหม่กว่า การอัปเดตระบบ Google Play จะมีสตริงวันที่ที่ตรงกับระดับแพตช์ความปลอดภัยปี 2021-06-01 โปรดดู บทความนี้ สำหรับรายละเอียดเพิ่มเติมเกี่ยวกับวิธีการติดตั้งโปรแกรมปรับปรุงการรักษาความปลอดภัย

2. เหตุใดกระดานข่าวนี้จึงมีแพตช์ความปลอดภัยสองระดับ

กระดานข่าวนี้มีแพตช์ความปลอดภัยสองระดับ เพื่อให้พันธมิตร Android มีความยืดหยุ่นในการแก้ไขช่องโหว่บางส่วนที่คล้ายคลึงกันในอุปกรณ์ Android ทั้งหมดได้รวดเร็วยิ่งขึ้น ขอแนะนำให้พันธมิตร Android แก้ไขปัญหาทั้งหมดในกระดานข่าวนี้และใช้ระดับแพตช์ความปลอดภัยล่าสุด

  • อุปกรณ์ที่ใช้ระดับแพตช์ความปลอดภัย 2021-06-01 จะต้องมีปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัยนั้น รวมถึงการแก้ไขสำหรับปัญหาทั้งหมดที่รายงานในกระดานข่าวความปลอดภัยก่อนหน้า
  • อุปกรณ์ที่ใช้ระดับแพตช์ความปลอดภัยปี 2021-06-05 หรือใหม่กว่าจะต้องรวมโปรแกรมแก้ไขที่เกี่ยวข้องทั้งหมดในกระดานข่าวความปลอดภัยนี้ (และก่อนหน้า)

พันธมิตรควรรวมกลุ่มการแก้ไขสำหรับปัญหาทั้งหมดที่พวกเขากำลังแก้ไขในการอัปเดตครั้งเดียว

3 สิ่งที่ทำรายการในค่าเฉลี่ยคอลัมน์ประเภท?

รายการในคอลัมน์ประเภทของช่องโหว่รายละเอียดอ้างอิงตารางการจัดหมวดหมู่ของช่องโหว่การรักษาความปลอดภัย

ตัวย่อ คำนิยาม
RCE การเรียกใช้โค้ดจากระยะไกล
EoP ยกระดับสิทธิพิเศษ
NS การเปิดเผยข้อมูล
DoS ปฏิเสธการให้บริการ
ไม่มี ไม่มีการจัดประเภท

4 สิ่งที่ทำรายการในค่าเฉลี่ยคอลัมน์อ้างอิง?

รายการภายใต้การอ้างอิงคอลัมน์ของตารางรายละเอียดช่องโหว่อาจจะมีคำนำหน้าระบุองค์กรที่ค่าอ้างอิงเป็น

คำนำหน้า อ้างอิง
NS- รหัสข้อบกพร่องของ Android
QC- หมายเลขอ้างอิง Qualcomm
NS- หมายเลขอ้างอิง MediaTek
NS- หมายเลขอ้างอิง NVIDIA
NS- หมายเลขอ้างอิง Broadcom

5. อะไรนี้ * ติดกับรหัสข้อผิดพลาดใน Android หมายถึงคอลัมน์อ้างอิง?

ปัญหาที่ไม่เปิดเผยต่อสาธารณะจะมี * ถัดจากรหัสอ้างอิงที่เกี่ยวข้อง การปรับปรุงสำหรับปัญหาที่มีอยู่ทั่วไปในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์พิกเซลพร้อมใช้งานจาก เว็บไซต์ของนักพัฒนาซอฟต์แวร์ Google

6. เหตุใดช่องโหว่ด้านความปลอดภัยจึงถูกแบ่งระหว่างกระดานข่าวสารนี้และอุปกรณ์ / คู่ค้าด้านความปลอดภัย เช่น กระดานข่าวสาร Pixel

ช่องโหว่ด้านความปลอดภัยที่บันทึกไว้ในกระดานข่าวความปลอดภัยนี้จำเป็นต้องประกาศระดับแพตช์ความปลอดภัยล่าสุดบนอุปกรณ์ Android ช่องโหว่ด้านความปลอดภัยเพิ่มเติมที่บันทึกไว้ในกระดานข่าวความปลอดภัยของอุปกรณ์ / คู่ค้า ไม่จำเป็นสำหรับการประกาศระดับแพตช์ความปลอดภัย อุปกรณ์ Android และชิปเซ็ตผู้ผลิตยังสามารถเผยแพร่รายละเอียดการรักษาความปลอดภัยช่องโหว่ที่เฉพาะเจาะจงกับผลิตภัณฑ์ของพวกเขาเช่น Google , หัวเว่ย , แอลจี , Motorola , Nokia หรือ ซัมซุง

รุ่น

เวอร์ชั่น วันที่ หมายเหตุ
1.0 7 มิถุนายน 2564 เผยแพร่กระดานข่าว
1.1 8 มิถุนายน 2564 กระดานข่าวสารได้รับการแก้ไขเพื่อรวมลิงก์ AOSP