กระดานข่าวความปลอดภัยของ Android—ตุลาคม 2021

Published ตุลาคม 4, 2021 | อัปเดต 29 พฤศจิกายน 2564

กระดานข่าวความปลอดภัยของ Android มีรายละเอียดของช่องโหว่ด้านความปลอดภัยที่ส่งผลต่ออุปกรณ์ Android ระดับแพตช์ความปลอดภัยปี 2021-10-05 หรือใหม่กว่าช่วยแก้ปัญหาเหล่านี้ทั้งหมด เรียนรู้วิธีการตรวจสอบระดับโปรแกรมปรับปรุงความปลอดภัยของอุปกรณ์ให้ดูที่ การตรวจสอบและอัปเดตเวอร์ชัน Android ของคุณ

พันธมิตร Android จะได้รับแจ้งปัญหาทั้งหมดอย่างน้อยหนึ่งเดือนก่อนเผยแพร่ แพทช์ซอร์สโค้ดสำหรับปัญหาเหล่านี้ได้รับการเผยแพร่ไปยังที่เก็บ Android Open Source Project (AOSP) และเชื่อมโยงจากกระดานข่าวสารนี้ กระดานข่าวนี้ยังรวมถึงลิงก์ไปยังโปรแกรมแก้ไขภายนอก AOSP

ปัญหาที่ร้ายแรงที่สุดคือช่องโหว่ด้านความปลอดภัยที่สำคัญในองค์ประกอบของระบบ ซึ่งสามารถเปิดใช้งานผู้โจมตีจากระยะไกลโดยใช้การส่งข้อมูลที่สร้างขึ้นเป็นพิเศษเพื่อรันโค้ดโดยอำเภอใจภายในบริบทของกระบวนการที่มีสิทธิพิเศษ การประเมินความรุนแรง จะขึ้นอยู่กับผลกระทบที่การใช้ประโยชน์จากช่องโหว่ดังกล่าวอาจจะมีอุปกรณ์ที่ได้รับผลกระทบสมมติว่าแพลตฟอร์มและบริการบรรเทาถูกปิดเพื่อการพัฒนาหรือถ้าข้ามประสบความสำเร็จ

อ้างถึง Android และ Google Play บรรเทาป้องกัน ส่วนสำหรับรายละเอียดเกี่ยวกับ Android คุ้มครองแพลตฟอร์มการรักษาความปลอดภัย และ Google Play ป้องกันซึ่งการปรับปรุงการรักษาความปลอดภัยของแพลตฟอร์ม Android

การลดการบริการของ Android และ Google

นี่คือบทสรุปของการบรรเทาที่มีให้โดย แพลตฟอร์ม Android การรักษาความปลอดภัย และการบริการการคุ้มครองเช่น Google Play ป้องกัน ความสามารถเหล่านี้ลดโอกาสที่ช่องโหว่ด้านความปลอดภัยจะถูกโจมตีบน Android ได้สำเร็จ

  • การใช้ประโยชน์จากปัญหามากมายบน Android ทำได้ยากขึ้นด้วยการปรับปรุงในแพลตฟอร์ม Android เวอร์ชันใหม่กว่า เราสนับสนุนให้ผู้ใช้ทุกคนอัปเดตเป็น Android เวอร์ชันล่าสุดหากเป็นไปได้
  • ทีมรักษาความปลอดภัยของ Android แข็งขันตรวจสอบการละเมิดผ่าน Google Play ป้องกัน และเตือนผู้ใช้เกี่ยวกับ การประยุกต์ใช้งานที่อาจเป็นอันตราย Google Play ป้องกันถูกเปิดใช้งานบนอุปกรณ์ที่มี บริการของ Google มือถือ และเป็นสิ่งสำคัญโดยเฉพาะอย่างยิ่งสำหรับผู้ใช้ที่ติดตั้งแอปจากด้านนอกของ Google Play

รายละเอียดช่องโหว่ระดับแพตช์ความปลอดภัย 2021-10-01

ในส่วนด้านล่าง เราได้ให้รายละเอียดเกี่ยวกับช่องโหว่ด้านความปลอดภัยแต่ละรายการที่ใช้กับระดับแพตช์ปี 2021-10-01 ช่องโหว่จะถูกจัดกลุ่มตามองค์ประกอบที่ได้รับผลกระทบ ปัญหาที่อธิบายไว้ในตารางด้านล่างนี้และรวมถึง CVE รหัสอ้างอิงที่เกี่ยวข้อง ประเภทของความเสี่ยง , ความรุนแรง และการปรับปรุงรุ่น AOSP (ถ้ามี) หากมี เราจะเชื่อมโยงการเปลี่ยนแปลงสาธารณะที่แก้ไขปัญหากับรหัสจุดบกพร่อง เช่น รายการการเปลี่ยนแปลง AOSP เมื่อการเปลี่ยนแปลงหลายรายการเกี่ยวข้องกับจุดบกพร่องเดียว การอ้างอิงเพิ่มเติมจะเชื่อมโยงกับหมายเลขตาม ID จุดบกพร่อง อุปกรณ์ที่มี Android 10 และต่อมาอาจได้รับการปรับปรุงการรักษาความปลอดภัยเช่นเดียวกับ การปรับปรุงระบบของ Google Play

รันไทม์ของ Android

ช่องโหว่ในส่วนนี้อาจทำให้ผู้โจมตีในพื้นที่ที่มีการเข้าถึงอุปกรณ์สามารถรันโค้ดโดยอำเภอใจเพื่อเข้าถึงการอนุญาตเพิ่มเติม
CVE อ้างอิง พิมพ์ ความรุนแรง อัปเดตเวอร์ชัน AOSP
CVE-2021-0703 A-184569329 EoP สูง 11

กรอบ

ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจเปิดใช้งานแอปพลิเคชันที่เป็นอันตรายในพื้นที่เพื่อรันโค้ดโดยอำเภอใจภายในบริบทของกระบวนการที่มีสิทธิพิเศษ

CVE อ้างอิง พิมพ์ ความรุนแรง อัปเดตเวอร์ชัน AOSP
CVE-2021-0652 A-185178568 EoP สูง 8.1, 9, 10, 11
CVE-2021-0705 A-185388103 EoP สูง 10, 11
CVE-2021-0708 A-183262161 EoP สูง 8.1, 9, 10, 11
CVE-2020-15358 A-192605364 NS สูง 11
CVE-2021-0702 A-193932765 NS สูง 11
CVE-2021-0651 A-67013844 DoS สูง 9, 10, 11

กรอบสื่อ

ช่องโหว่ในส่วนนี้อาจเปิดใช้งานแอปพลิเคชันที่เป็นอันตรายในพื้นที่เพื่อรันโค้ดโดยอำเภอใจภายในบริบทของกระบวนการที่มีสิทธิพิเศษ
CVE อ้างอิง พิมพ์ ความรุนแรง อัปเดตเวอร์ชัน AOSP
CVE-2021-0483 A-153358911 [ 2 ] EoP สูง 10, 11

การอัปเดตระบบ Google Play

ไม่มีปัญหาด้านความปลอดภัยในการอัปเดตระบบ Google Play (Project Mainline) ในเดือนนี้

รายละเอียดช่องโหว่ระดับแพตช์ความปลอดภัย 2021-10-05

ในส่วนด้านล่าง เราได้ให้รายละเอียดเกี่ยวกับช่องโหว่ด้านความปลอดภัยแต่ละรายการที่ใช้กับระดับแพตช์ปี 2021-10-05 ช่องโหว่จะถูกจัดกลุ่มตามองค์ประกอบที่ได้รับผลกระทบ ปัญหาที่อธิบายไว้ในตารางด้านล่างนี้และรวมถึง CVE รหัสอ้างอิงที่เกี่ยวข้อง ประเภทของความเสี่ยง , ความรุนแรง และการปรับปรุงรุ่น AOSP (ถ้ามี) หากมี เราจะเชื่อมโยงการเปลี่ยนแปลงสาธารณะที่แก้ไขปัญหากับรหัสจุดบกพร่อง เช่น รายการการเปลี่ยนแปลง AOSP เมื่อการเปลี่ยนแปลงหลายรายการเกี่ยวข้องกับจุดบกพร่องเดียว การอ้างอิงเพิ่มเติมจะเชื่อมโยงกับหมายเลขตาม ID จุดบกพร่อง

ระบบ

ช่องโหว่ในส่วนนี้อาจเปิดใช้งานผู้โจมตีระยะไกลโดยใช้การส่งสัญญาณที่สร้างขึ้นเป็นพิเศษเพื่อรันโค้ดโดยอำเภอใจภายในบริบทของกระบวนการที่มีสิทธิพิเศษ
CVE อ้างอิง พิมพ์ ความรุนแรง อัปเดตเวอร์ชัน AOSP
CVE-2021-0870 A-192472262 RCE วิกฤต 8.1, 9, 10, 11

ส่วนประกอบเคอร์เนล

ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้ผู้โจมตีในพื้นที่สามารถรันโค้ดโดยอำเภอใจภายในบริบทของกระบวนการที่มีสิทธิพิเศษ
CVE อ้างอิง พิมพ์ ความรุนแรง ส่วนประกอบ
CVE-2020-29660 A-175451844
ต้นน้ำเคอร์เนล
EoP สูง TTY
CVE-2020-10768 A-169505929
ต้นน้ำเคอร์เนล
NS สูง การป้องกัน i86 Spectre v2
CVE-2021-29647 A-184622099
ต้นน้ำเคอร์เนล
NS สูง รองรับเราเตอร์ Qualcomm IPC

โทรคมนาคม

ช่องโหว่ในส่วนนี้อาจนำไปสู่การเปิดเผยข้อมูลระยะไกลโดยไม่ต้องมีสิทธิ์ดำเนินการเพิ่มเติม
CVE อ้างอิง พิมพ์ ความรุนแรง ส่วนประกอบ
CVE-2021-27666 A-180401789 * NS สูง โมเด็ม

ส่วนประกอบ Qualcomm

ช่องโหว่เหล่านี้ส่งผลต่อส่วนประกอบของ Qualcomm และมีการอธิบายรายละเอียดเพิ่มเติมในกระดานข่าวความปลอดภัยของ Qualcomm หรือการแจ้งเตือนด้านความปลอดภัย การประเมินความรุนแรงของปัญหาเหล่านี้จัดทำโดย Qualcomm โดยตรง

CVE อ้างอิง ความรุนแรง ส่วนประกอบ
CVE-2020-11264
A-175608649
QC-CR # 2860206 [ 2 ]
วิกฤต WLAN
CVE-2020-11301
A-179929247
QC-CR # 2860198 *
QC-CR # 2867022 [ 2 ] [ 3 ]
วิกฤต WLAN
CVE-2020-24587
A-175626671
QC-CR#2860131
QC-CR # 2868012 *
QC-CR # 2875946 [ 2 ]
QC-CR#2875950
QC-CR#2874366
สูง WLAN
CVE-2020-24588
A-175626624
QC-CR # 2866467 *
QC-CR # 2867578 *
QC-CR#2867994
QC-CR # 2868616 *
QC-CR # 2877094 *
QC-CR # 2879013 *
QC-CR # 2883162 *
QC-CR # 2886422 *
QC-CR # 2888466 *
QC-CR # 2890623 *
QC-CR # 2896070 *
QC-CR # 2896369 *
QC-CR # 2861800 [ 2 ] [ 3 ] [ 4 ] [ 5 ]
QC-CR # 2943860 *
สูง WLAN
CVE-2020-26139
A-177911151
QC-CR#2860248
QC-CR#2868054
QC-CR#2888227
QC-CR#2888467
QC-CR#2942096
QC-CR # 2943789 [ 2 ] [ 3 ] [ 4 ] [ 5 ]
QC-CR # 2867013 *
สูง WLAN
CVE-2020-26141
A-177911676
QC-CR#2869483
สูง WLAN
CVE-2020-26145
A-177910901
QC-CR#2860245
QC-CR # 2868035 *
QC-CR#2893212
สูง WLAN
CVE-2020-26146
A-175626808
QC-CR#2860242
QC-CR#2874369
สูง WLAN
CVE-2021-1977
A-193070701
QC-CR # 2859024 [ 2 ]
สูง WLAN
CVE-2021-1980
A-190404330
QC-CR#2873394
สูง WLAN
CVE-2021-30305
A-193070437
QC-CR#2913910
สูง แสดง
CVE-2021-30306
A-193071117
QC-CR#2915692
สูง เครื่องเสียง
CVE-2021-30312
A-193070595
QC-CR # 2948107 [ 2 ]
สูง WLAN

ส่วนประกอบโอเพ่นซอร์สของ Qualcomm

ช่องโหว่เหล่านี้ส่งผลกระทบต่อส่วนประกอบโอเพ่นซอร์สของ Qualcomm และได้อธิบายไว้ในรายละเอียดเพิ่มเติมในกระดานข่าวความปลอดภัยของ Qualcomm หรือการแจ้งเตือนด้านความปลอดภัย การประเมินความรุนแรงของปัญหาเหล่านี้จัดทำโดย Qualcomm โดยตรง

CVE อ้างอิง ความรุนแรง ส่วนประกอบ
CVE-2020-111303
A-193070323 * สูง ส่วนประกอบที่ปิดแหล่งที่มา
CVE-2020-26140
A-177911345 * สูง ส่วนประกอบที่ปิดแหล่งที่มา
CVE-2020-26147
A-177910719 * สูง ส่วนประกอบที่ปิดแหล่งที่มา
CVE-2021-1913
A-184561641 * สูง ส่วนประกอบที่ปิดแหล่งที่มา
CVE-2021-1917
A-184561580 * สูง ส่วนประกอบที่ปิดแหล่งที่มา
CVE-2021-1932
A-184561562 * สูง ส่วนประกอบที่ปิดแหล่งที่มา
CVE-2021-1936
A-184561359 * สูง ส่วนประกอบที่ปิดแหล่งที่มา
CVE-2021-1949
A-184561794 * สูง ส่วนประกอบที่ปิดแหล่งที่มา
CVE-2021-1959
A-184561776 * สูง ส่วนประกอบที่ปิดแหล่งที่มา
CVE-2021-1983
A-190402581 * สูง ส่วนประกอบที่ปิดแหล่งที่มา
CVE-2021-1984
A-190403732 * สูง ส่วนประกอบที่ปิดแหล่งที่มา
CVE-2021-1985
A-190404406 * สูง ส่วนประกอบที่ปิดแหล่งที่มา
CVE-2021-30256
A-190404960 * สูง ส่วนประกอบที่ปิดแหล่งที่มา
CVE-2021-30257
A-190403214 * สูง ส่วนประกอบที่ปิดแหล่งที่มา
CVE-2021-30258
A-190404449 * สูง ส่วนประกอบที่ปิดแหล่งที่มา
CVE-2021-30288
A-193069567 * สูง ส่วนประกอบที่ปิดแหล่งที่มา
CVE-2021-30291
A-190404407 * สูง ส่วนประกอบที่ปิดแหล่งที่มา
CVE-2021-30292
A-190404329 * สูง ส่วนประกอบที่ปิดแหล่งที่มา
CVE-2021-30297
A-190403733 * สูง ส่วนประกอบที่ปิดแหล่งที่มา
CVE-2021-30302
A-193070343 * สูง ส่วนประกอบที่ปิดแหล่งที่มา
CVE-2021-30310
A-193070558 * สูง ส่วนประกอบที่ปิดแหล่งที่มา

คำถามและคำตอบทั่วไป

ส่วนนี้จะตอบคำถามทั่วไปที่อาจเกิดขึ้นหลังจากอ่านกระดานข่าวนี้

1. ฉันจะทราบได้อย่างไรว่าอุปกรณ์ของฉันได้รับการอัปเดตเพื่อแก้ไขปัญหาเหล่านี้หรือไม่

เรียนรู้วิธีการตรวจสอบระดับโปรแกรมปรับปรุงความปลอดภัยของอุปกรณ์ให้ดูที่ การตรวจสอบและอัปเดตเวอร์ชัน Android ของคุณ

  • ระดับแพตช์ความปลอดภัย 2021-10-01 หรือใหม่กว่า แก้ไขปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัย 2021-10-01
  • ระดับแพตช์ความปลอดภัย 2021-10-05 หรือใหม่กว่า แก้ไขปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัย 2021-10-05 และระดับแพตช์ก่อนหน้าทั้งหมด

ผู้ผลิตอุปกรณ์ที่มีการอัปเดตเหล่านี้ควรตั้งค่าระดับสตริงของโปรแกรมแก้ไขเป็น:

  • [ro.build.version.security_patch]:[2021-10-01]
  • [ro.build.version.security_patch]:[2021-10-05]

สำหรับอุปกรณ์บางรุ่นที่ใช้ Android 10 หรือใหม่กว่า การอัปเดตระบบ Google Play จะมีสตริงวันที่ที่ตรงกับระดับแพตช์ความปลอดภัยปี 2021-10-01 โปรดดู บทความนี้ สำหรับรายละเอียดเพิ่มเติมเกี่ยวกับวิธีการติดตั้งโปรแกรมปรับปรุงการรักษาความปลอดภัย

2. เหตุใดกระดานข่าวนี้จึงมีแพตช์ความปลอดภัยสองระดับ

กระดานข่าวนี้มีโปรแกรมแก้ไขความปลอดภัยสองระดับ เพื่อให้พันธมิตร Android มีความยืดหยุ่นในการแก้ไขช่องโหว่บางส่วนที่คล้ายคลึงกันในอุปกรณ์ Android ทั้งหมดได้รวดเร็วยิ่งขึ้น ขอแนะนำให้พันธมิตร Android แก้ไขปัญหาทั้งหมดในกระดานข่าวนี้และใช้ระดับแพตช์ความปลอดภัยล่าสุด

  • อุปกรณ์ที่ใช้ระดับแพตช์ความปลอดภัย 2021-10-01 จะต้องมีปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัยนั้น เช่นเดียวกับการแก้ไขสำหรับปัญหาทั้งหมดที่รายงานในกระดานข่าวความปลอดภัยก่อนหน้า
  • อุปกรณ์ที่ใช้ระดับแพตช์ความปลอดภัยปี 2021-10-05 หรือใหม่กว่าจะต้องรวมโปรแกรมแก้ไขที่เกี่ยวข้องทั้งหมดในกระดานข่าวความปลอดภัยนี้ (และก่อนหน้า)

พันธมิตรควรรวมกลุ่มการแก้ไขสำหรับปัญหาทั้งหมดที่พวกเขากำลังแก้ไขในการอัปเดตครั้งเดียว

3 สิ่งที่ทำรายการในค่าเฉลี่ยคอลัมน์ประเภท?

รายการในคอลัมน์ประเภทของช่องโหว่รายละเอียดอ้างอิงตารางการจัดหมวดหมู่ของช่องโหว่การรักษาความปลอดภัย

ตัวย่อ คำนิยาม
RCE การเรียกใช้โค้ดจากระยะไกล
EoP ยกระดับสิทธิพิเศษ
NS การเปิดเผยข้อมูล
DoS ปฏิเสธการให้บริการ
ไม่มี ไม่มีการจัดประเภท

4 สิ่งที่ทำรายการในค่าเฉลี่ยคอลัมน์อ้างอิง?

รายการภายใต้การอ้างอิงคอลัมน์ของตารางรายละเอียดช่องโหว่อาจจะมีคำนำหน้าระบุองค์กรที่ค่าอ้างอิงเป็น

คำนำหน้า อ้างอิง
NS- รหัสข้อบกพร่องของ Android
QC- หมายเลขอ้างอิง Qualcomm
NS- หมายเลขอ้างอิง MediaTek
NS- หมายเลขอ้างอิง NVIDIA
NS- หมายเลขอ้างอิง Broadcom
ยู- หมายเลขอ้างอิง UNISOC

5. อะไรนี้ * ติดกับรหัสข้อผิดพลาดใน Android หมายถึงคอลัมน์อ้างอิง?

ปัญหาที่ไม่เปิดเผยต่อสาธารณะจะมี * ถัดจากรหัสอ้างอิงที่เกี่ยวข้อง การปรับปรุงสำหรับปัญหาที่มีอยู่ทั่วไปในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์พิกเซลพร้อมใช้งานจาก เว็บไซต์ของนักพัฒนาซอฟต์แวร์ Google

6. เหตุใดช่องโหว่ด้านความปลอดภัยจึงถูกแบ่งระหว่างกระดานข่าวนี้และอุปกรณ์ / คู่ค้าด้านความปลอดภัยเช่นกระดานข่าว Pixel

ช่องโหว่ด้านความปลอดภัยที่บันทึกไว้ในกระดานข่าวความปลอดภัยนี้จำเป็นต้องประกาศระดับแพตช์ความปลอดภัยล่าสุดบนอุปกรณ์ Android ช่องโหว่ด้านความปลอดภัยเพิ่มเติมที่บันทึกไว้ในกระดานข่าวความปลอดภัยของอุปกรณ์ / คู่ค้า ไม่จำเป็นสำหรับการประกาศระดับแพตช์ความปลอดภัย อุปกรณ์ Android และชิปเซ็ตผู้ผลิตยังสามารถเผยแพร่รายละเอียดการรักษาความปลอดภัยช่องโหว่ที่เฉพาะเจาะจงกับผลิตภัณฑ์ของพวกเขาเช่น Google , หัวเว่ย , แอลจี , Motorola , Nokia หรือ ซัมซุง

รุ่น

เวอร์ชั่น วันที่ หมายเหตุ
1.0 4 ตุลาคม 2564 ออกแถลงการณ์
1.1 6 ตุลาคม 2564 กระดานข่าวแก้ไข
1.2 11 ตุลาคม 2564 แก้ไขตาราง CVE
1.3 15 พฤศจิกายน 2564 แก้ไขตาราง CVE
1.4 29 พฤศจิกายน 2564 แก้ไขตาราง CVE