กระดานข่าวความปลอดภัยของ Android—กรกฎาคม 2021

Published กรกฎาคม 7, 2021 | อัปเดตเมื่อ 21 กรกฎาคม 2021

กระดานข่าวความปลอดภัยของ Android มีรายละเอียดของช่องโหว่ด้านความปลอดภัยที่ส่งผลต่ออุปกรณ์ Android ระดับแพตช์ความปลอดภัยปี 2021-07-05 หรือใหม่กว่าช่วยแก้ปัญหาเหล่านี้ทั้งหมด เรียนรู้วิธีการตรวจสอบระดับโปรแกรมปรับปรุงความปลอดภัยของอุปกรณ์ให้ดูที่ การตรวจสอบและอัปเดตเวอร์ชัน Android ของคุณ

พันธมิตร Android จะได้รับแจ้งปัญหาทั้งหมดอย่างน้อยหนึ่งเดือนก่อนเผยแพร่ แพทช์ซอร์สโค้ดสำหรับปัญหาเหล่านี้ได้รับการเผยแพร่ไปยังที่เก็บ Android Open Source Project (AOSP) และเชื่อมโยงจากกระดานข่าวสารนี้ กระดานข่าวนี้ยังรวมถึงลิงก์ไปยังแพตช์นอก AOSP

ปัญหาที่ร้ายแรงที่สุดคือช่องโหว่ด้านความปลอดภัยสูงในองค์ประกอบของระบบ ซึ่งสามารถเปิดใช้งานผู้โจมตีจากระยะไกลโดยใช้ไฟล์ที่ออกแบบมาเป็นพิเศษเพื่อรันโค้ดโดยอำเภอใจภายในบริบทของกระบวนการที่มีสิทธิพิเศษ การประเมินความรุนแรง จะขึ้นอยู่กับผลกระทบที่การใช้ประโยชน์จากช่องโหว่ดังกล่าวอาจจะมีอุปกรณ์ที่ได้รับผลกระทบสมมติว่าแพลตฟอร์มและบริการบรรเทาถูกปิดเพื่อการพัฒนาหรือถ้าข้ามประสบความสำเร็จ

อ้างถึง Android และ Google Play บรรเทาป้องกัน ส่วนสำหรับรายละเอียดเกี่ยวกับ Android คุ้มครองแพลตฟอร์มการรักษาความปลอดภัย และ Google Play ป้องกันซึ่งการปรับปรุงการรักษาความปลอดภัยของแพลตฟอร์ม Android

การลดการบริการของ Android และ Google

นี่คือบทสรุปของการบรรเทาที่มีให้โดย แพลตฟอร์ม Android การรักษาความปลอดภัย และการบริการการคุ้มครองเช่น Google Play ป้องกัน ความสามารถเหล่านี้ลดโอกาสที่ช่องโหว่ด้านความปลอดภัยจะถูกโจมตีบน Android ได้สำเร็จ

  • การใช้ประโยชน์จากปัญหามากมายบน Android ทำได้ยากขึ้นด้วยการปรับปรุงในแพลตฟอร์ม Android เวอร์ชันใหม่กว่า เราสนับสนุนให้ผู้ใช้ทุกคนอัปเดตเป็น Android เวอร์ชันล่าสุดหากเป็นไปได้
  • ทีมรักษาความปลอดภัยของ Android แข็งขันตรวจสอบการละเมิดผ่าน Google Play ป้องกัน และเตือนผู้ใช้เกี่ยวกับ การประยุกต์ใช้งานที่อาจเป็นอันตราย Google Play ป้องกันถูกเปิดใช้งานบนอุปกรณ์ที่มี บริการของ Google มือถือ และเป็นสิ่งสำคัญโดยเฉพาะอย่างยิ่งสำหรับผู้ใช้ที่ติดตั้งแอปจากด้านนอกของ Google Play

รายละเอียดช่องโหว่ระดับแพตช์ความปลอดภัย 2021-07-01

ในส่วนด้านล่าง เราได้ให้รายละเอียดเกี่ยวกับช่องโหว่ด้านความปลอดภัยแต่ละรายการที่ใช้กับระดับแพตช์ 2021-07-01 ช่องโหว่จะถูกจัดกลุ่มตามองค์ประกอบที่ได้รับผลกระทบ ปัญหาที่อธิบายไว้ในตารางด้านล่างนี้และรวมถึง CVE รหัสอ้างอิงที่เกี่ยวข้อง ประเภทของความเสี่ยง , ความรุนแรง และการปรับปรุงรุ่น AOSP (ถ้ามี) หากมี เราจะเชื่อมโยงการเปลี่ยนแปลงสาธารณะที่แก้ไขปัญหากับรหัสจุดบกพร่อง เช่น รายการการเปลี่ยนแปลง AOSP เมื่อการเปลี่ยนแปลงหลายรายการเกี่ยวข้องกับจุดบกพร่องเดียว การอ้างอิงเพิ่มเติมจะเชื่อมโยงกับหมายเลขตามรหัสจุดบกพร่อง อุปกรณ์ที่มี Android 10 และต่อมาอาจได้รับการปรับปรุงการรักษาความปลอดภัยเช่นเดียวกับ การปรับปรุงระบบของ Google Play

กรอบ

ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถข้ามข้อกำหนดการโต้ตอบของผู้ใช้เพื่อเข้าถึงการอนุญาตเพิ่มเติมได้

CVE อ้างอิง พิมพ์ ความรุนแรง อัปเดตเวอร์ชัน AOSP
CVE-2021-0441 A-174495520 [ 2 ] EoP สูง 11
CVE-2021-0486 A-171430330 [ 2 ] EoP สูง 10, 11

กรอบสื่อ

ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถรันโค้ดโดยอำเภอใจภายในบริบทของกระบวนการที่มีสิทธิพิเศษ

CVE อ้างอิง พิมพ์ ความรุนแรง อัปเดตเวอร์ชัน AOSP
CVE-2021-0587 A-185259758 EoP สูง 8.1, 9, 10, 11
CVE-2021-0601 A-180643802 NS สูง 8.1, 9, 10, 11

ระบบ

ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้แอปพลิเคชันที่เป็นอันตรายในเครื่องสามารถข้ามข้อกำหนดการโต้ตอบของผู้ใช้เพื่อเข้าถึงการอนุญาตเพิ่มเติมได้

CVE อ้างอิง พิมพ์ ความรุนแรง อัปเดตเวอร์ชัน AOSP
CVE-2020-0417 A-154319182 EoP สูง 8.1, 9, 10
CVE-2021-0585 A-184963385 EoP สูง 8.1, 9, 10, 11
CVE-2021-0586 A-182584940 EoP สูง 8.1, 9, 10, 11
CVE-2021-0589 A-180939982 EoP สูง 8.1, 9, 10, 11
CVE-2021-0594 A-176445224 EoP สูง 8.1, 9, 10, 11
CVE-2021-0600 A-179042963 EoP สูง 8.1, 9, 10, 11
CVE-2021-0602 A-177573895 EoP สูง 10, 11
CVE-2021-0588 A-177238342 NS สูง 8.1, 9
CVE-2021-0590 A-175213041 [ 2 ] NS สูง 8.1, 9, 10, 11
CVE-2021-0596 A-181346550 NS สูง 8.1, 9, 10, 11
CVE-2021-0597 A-176496502 NS สูง 8.1, 9, 10, 11
CVE-2021-0599 A-175614289 NS สูง 8.1, 9, 10, 11
CVE-2021-0604 A-179910660 NS สูง 8.1, 9, 10, 11

การอัปเดตระบบ Google Play

ปัญหาต่อไปนี้จะรวมอยู่ในส่วนประกอบ Mainline ของโครงการ

ส่วนประกอบ CVE
MediaProvider CVE-2021-0441
ตัวแปลงสัญญาณสื่อ CVE-2021-0601
กองเครือข่าย CVE-2021-0590

รายละเอียดช่องโหว่ระดับแพตช์ความปลอดภัย 2021-07-05

ในส่วนด้านล่าง เราได้ให้รายละเอียดเกี่ยวกับช่องโหว่ด้านความปลอดภัยแต่ละรายการที่ใช้กับระดับแพตช์ 2021-07-05 ช่องโหว่จะถูกจัดกลุ่มตามองค์ประกอบที่ได้รับผลกระทบ ปัญหาที่อธิบายไว้ในตารางด้านล่างนี้และรวมถึง CVE รหัสอ้างอิงที่เกี่ยวข้อง ประเภทของความเสี่ยง , ความรุนแรง และการปรับปรุงรุ่น AOSP (ถ้ามี) หากมี เราจะเชื่อมโยงการเปลี่ยนแปลงสาธารณะที่แก้ไขปัญหากับรหัสจุดบกพร่อง เช่น รายการการเปลี่ยนแปลง AOSP เมื่อการเปลี่ยนแปลงหลายรายการเกี่ยวข้องกับจุดบกพร่องเดียว การอ้างอิงเพิ่มเติมจะเชื่อมโยงกับหมายเลขตามรหัสจุดบกพร่อง

กรอบ

ช่องโหว่ในส่วนนี้อาจเปิดใช้งานผู้โจมตีในพื้นที่ที่มีสิทธิ์เข้าถึงเพื่อเข้าถึงข้อมูลที่ละเอียดอ่อน

CVE อ้างอิง พิมพ์ ความรุนแรง อัปเดตเวอร์ชัน AOSP
CVE-2020-0368 A-143230980 [ 2 ] NS สูง 11

ระบบ

ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้ผู้โจมตีจากระยะไกลใช้ไฟล์ที่ออกแบบมาเป็นพิเศษเพื่อรันโค้ดโดยอำเภอใจภายในบริบทของกระบวนการที่มีสิทธิพิเศษ

CVE อ้างอิง พิมพ์ ความรุนแรง อัปเดตเวอร์ชัน AOSP
CVE-2021-0514 A-162604069 [ 2 ] [ 3 ] RCE สูง 8.1, 9, 10, 11
CVE-2021-0515 A-167389063 [ 2 ] [ 3 ] RCE สูง 8.1, 9, 10, 11
CVE-2021-0603 A-182809425 EoP สูง 11

ส่วนประกอบ MediaTek

ช่องโหว่นี้ส่งผลต่อองค์ประกอบ MediaTek และรายละเอียดเพิ่มเติมสามารถดูได้โดยตรงจาก MediaTek การประเมินความรุนแรงของปัญหานี้จัดทำโดย MediaTek โดยตรง

CVE อ้างอิง ความรุนแรง ส่วนประกอบ
CVE-2021-0577
A-187161771
M-ALPS05544148 *
สูง เครื่องสกัด flv

Widevine DRM

ช่องโหว่นี้ส่งผลต่อคอมโพเนนต์ Widevine DRM และดูรายละเอียดเพิ่มเติมได้จาก Widevine DRM โดยตรง การประเมินความรุนแรงของปัญหานี้จัดทำโดย Widevine DRM โดยตรง

CVE อ้างอิง ความรุนแรง ส่วนประกอบ
CVE-2021-0592
A-188061006 * วิกฤต ไวด์ไวน์

ส่วนประกอบ Qualcomm

ช่องโหว่เหล่านี้ส่งผลต่อส่วนประกอบของ Qualcomm และมีการอธิบายรายละเอียดเพิ่มเติมในกระดานข่าวด้านความปลอดภัยของ Qualcomm หรือการแจ้งเตือนด้านความปลอดภัยที่เหมาะสม การประเมินความรุนแรงของปัญหาเหล่านี้จัดทำโดย Qualcomm โดยตรง

CVE อ้างอิง ความรุนแรง ส่วนประกอบ
CVE-2021-1965
A-184561775
QC-CR#2867353
วิกฤต WLAN
CVE-2021-1907 A-184561563
QC-CR#2766363
สูง WLAN
CVE-2021-1931 A-179057550
QC-CR#2820093
สูง Bootloader
CVE-2021-1940 A-184561360
QC-CR#2830334
สูง เคอร์เนล
CVE-2021-1943 A-184561361
QC-CR#2836205
สูง WLAN
CVE-2021-1945 A-184561583
QC-CR#2838849
สูง WLAN
CVE-2021-1954 A-184561797
QC-CR#2842475
สูง WLAN
CVE-2021-1955 A-184561582
QC-CR#2810235
QC-CR#2857049
QC-CR#2857052
สูง WLAN
CVE-2021-1964 A-184561362
QC-CR#2856212
สูง WLAN
CVE-2021-1970 A-184561587
QC-CR#2857084
สูง WLAN

ส่วนประกอบโอเพ่นซอร์สของ Qualcomm

ช่องโหว่เหล่านี้ส่งผลกระทบต่อส่วนประกอบโอเพ่นซอร์สของ Qualcomm และได้อธิบายไว้ในรายละเอียดเพิ่มเติมในกระดานข่าวความปลอดภัยของ Qualcomm หรือการแจ้งเตือนด้านความปลอดภัย การประเมินความรุนแรงของปัญหาเหล่านี้จัดทำโดย Qualcomm โดยตรง

CVE อ้างอิง ความรุนแรง ส่วนประกอบ
CVE-2020-11307 A-175038120 * วิกฤต ส่วนประกอบที่ปิดแหล่งที่มา
CVE-2021-1938 A-184561642 * สูง ส่วนประกอบที่ปิดแหล่งที่มา
CVE-2021-1953 A-184561249 * สูง ส่วนประกอบที่ปิดแหล่งที่มา

คำถามและคำตอบทั่วไป

ส่วนนี้จะตอบคำถามทั่วไปที่อาจเกิดขึ้นหลังจากอ่านกระดานข่าวนี้

1. ฉันจะทราบได้อย่างไรว่าอุปกรณ์ของฉันได้รับการอัปเดตเพื่อแก้ไขปัญหาเหล่านี้หรือไม่

เรียนรู้วิธีการตรวจสอบระดับโปรแกรมปรับปรุงความปลอดภัยของอุปกรณ์ให้ดูที่ การตรวจสอบและอัปเดตเวอร์ชัน Android ของคุณ

  • ระดับแพตช์ความปลอดภัย 2021-07-01 หรือใหม่กว่า แก้ไขปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัย 2021-07-01
  • ระดับแพตช์ความปลอดภัย 2021-07-05 หรือใหม่กว่า แก้ไขปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัย 2021-07-05 และระดับแพตช์ก่อนหน้าทั้งหมด

ผู้ผลิตอุปกรณ์ที่มีการอัปเดตเหล่านี้ควรตั้งค่าระดับสตริงของโปรแกรมแก้ไขเป็น:

  • [ro.build.version.security_patch]:[2021-07-01]
  • [ro.build.version.security_patch]:[2021-07-05]

สำหรับอุปกรณ์บางรุ่นที่ใช้ Android 10 หรือใหม่กว่า การอัปเดตระบบ Google Play จะมีสตริงวันที่ที่ตรงกับระดับแพตช์ความปลอดภัยปี 2021-07-01 โปรดดู บทความนี้ สำหรับรายละเอียดเพิ่มเติมเกี่ยวกับวิธีการติดตั้งโปรแกรมปรับปรุงการรักษาความปลอดภัย

2. เหตุใดกระดานข่าวนี้จึงมีแพตช์ความปลอดภัยสองระดับ

กระดานข่าวนี้มีแพตช์ความปลอดภัยสองระดับ เพื่อให้พันธมิตร Android มีความยืดหยุ่นในการแก้ไขช่องโหว่บางส่วนที่คล้ายคลึงกันในอุปกรณ์ Android ทั้งหมดได้รวดเร็วยิ่งขึ้น ขอแนะนำให้พันธมิตร Android แก้ไขปัญหาทั้งหมดในกระดานข่าวนี้และใช้ระดับแพตช์ความปลอดภัยล่าสุด

  • อุปกรณ์ที่ใช้ระดับแพตช์ความปลอดภัย 2021-07-01 จะต้องมีปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัยนั้น รวมถึงการแก้ไขสำหรับปัญหาทั้งหมดที่รายงานในกระดานข่าวความปลอดภัยก่อนหน้า
  • อุปกรณ์ที่ใช้ระดับแพตช์ความปลอดภัยปี 2021-07-05 หรือใหม่กว่าจะต้องมีแพตช์ที่เกี่ยวข้องทั้งหมดในกระดานข่าวความปลอดภัยนี้ (และก่อนหน้า)

พันธมิตรควรรวมกลุ่มการแก้ไขสำหรับปัญหาทั้งหมดที่พวกเขากำลังแก้ไขในการอัปเดตครั้งเดียว

3 สิ่งที่ทำรายการในค่าเฉลี่ยคอลัมน์ประเภท?

รายการในคอลัมน์ประเภทของช่องโหว่รายละเอียดอ้างอิงตารางการจัดหมวดหมู่ของช่องโหว่การรักษาความปลอดภัย

ตัวย่อ คำนิยาม
RCE การเรียกใช้โค้ดจากระยะไกล
EoP ยกระดับสิทธิพิเศษ
NS การเปิดเผยข้อมูล
DoS ปฏิเสธการให้บริการ
ไม่มี ไม่มีการจัดประเภท

4 สิ่งที่ทำรายการในค่าเฉลี่ยคอลัมน์อ้างอิง?

รายการภายใต้การอ้างอิงคอลัมน์ของตารางรายละเอียดช่องโหว่อาจจะมีคำนำหน้าระบุองค์กรที่ค่าอ้างอิงเป็น

คำนำหน้า อ้างอิง
NS- รหัสข้อบกพร่องของ Android
QC- หมายเลขอ้างอิง Qualcomm
NS- หมายเลขอ้างอิง MediaTek
NS- หมายเลขอ้างอิง NVIDIA
NS- หมายเลขอ้างอิง Broadcom

5. อะไรนี้ * ติดกับรหัสข้อผิดพลาดใน Android หมายถึงคอลัมน์อ้างอิง?

ปัญหาที่ไม่เปิดเผยต่อสาธารณะจะมี * ถัดจากรหัสอ้างอิงที่เกี่ยวข้อง การปรับปรุงสำหรับปัญหาที่มีอยู่ทั่วไปในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์พิกเซลพร้อมใช้งานจาก เว็บไซต์ของนักพัฒนาซอฟต์แวร์ Google

6. เหตุใดช่องโหว่ด้านความปลอดภัยจึงถูกแบ่งระหว่างกระดานข่าวสารนี้และอุปกรณ์ / คู่ค้าด้านความปลอดภัย เช่น กระดานข่าวสาร Pixel

ช่องโหว่ด้านความปลอดภัยที่บันทึกไว้ในกระดานข่าวความปลอดภัยนี้จำเป็นต้องประกาศระดับแพตช์ความปลอดภัยล่าสุดบนอุปกรณ์ Android ช่องโหว่ด้านความปลอดภัยเพิ่มเติมที่บันทึกไว้ในกระดานข่าวความปลอดภัยของอุปกรณ์ / คู่ค้า ไม่จำเป็นสำหรับการประกาศระดับแพตช์ความปลอดภัย อุปกรณ์ Android และชิปเซ็ตผู้ผลิตยังสามารถเผยแพร่รายละเอียดการรักษาความปลอดภัยช่องโหว่ที่เฉพาะเจาะจงกับผลิตภัณฑ์ของพวกเขาเช่น Google , หัวเว่ย , แอลจี , Motorola , Nokia หรือ ซัมซุง

รุ่น

เวอร์ชั่น วันที่ หมายเหตุ
1.0 7 กรกฎาคม 2564 เผยแพร่กระดานข่าว
1.1 9 กรกฎาคม 2564 กระดานข่าวสารได้รับการแก้ไขเพื่อรวมลิงก์ AOSP
1.2 15 กรกฎาคม 2564 แก้ไขตาราง CVE
1.3 21 กรกฎาคม 2564 แก้ไขตาราง CVE