Google은 흑인 공동체를 위한 인종 간 평등을 진전시키기 위해 노력하고 있습니다. Google에서 어떤 노력을 하고 있는지 확인하세요.

Android 보안 게시판 - 2021년 12월

2021년 12월 6일 게시 | 2021년 12월 8일 업데이트됨

Android 보안 게시판에는 Android 기기에 영향을 미치는 보안 취약점에 대한 세부 정보가 포함되어 있습니다. 2021-12-05 이상의 보안 패치 수준은 이러한 모든 문제를 해결합니다. , 장치의 보안 패치 수준을 확인 참조하는 방법을 배우려면 체크를하고 안드로이드 버전을 업데이트 .

Android 파트너는 게시 최소 한 달 전에 모든 문제에 대한 알림을 받습니다. Android 파트너는 발행하기 최소 한 달 전에 모든 문제에 대한 알림을 받습니다. 이러한 문제에 대한 소스 코드 패치는 Android AOSP(오픈 소스 프로젝트) 저장소에 릴리스되었으며 이 게시판에 링크되어 있습니다. 이 게시판에는 AOSP 외부의 패치에 대한 링크도 포함되어 있습니다.

이러한 문제 중 가장 심각한 것은 미디어 프레임워크 구성 요소의 심각한 보안 취약성으로, 추가 실행 권한 없이 원격 정보 공개로 이어질 수 있습니다. 심각도 평가는 취약점이 악용 될 가능성이 플랫폼과 서비스를 완화 개발 목적으로 꺼져 있거나 성공적으로 우회하면된다 가정, 영향을받는 장치에 미칠 것이라고 영향을 기반으로합니다.

참고하여주십시오 안드로이드와 구글은 보호 완화 플레이 에 대한 자세한 내용은 섹션 안드로이드 보안 플랫폼 보호 와 구글은 안드로이드 플랫폼의 보안을 개선하는 보호를 재생합니다.

Android 및 Google 서비스 완화

이것은에 의해 제공되는 완화를 요약 한 것입니다 안드로이드 보안 플랫폼 등의 서비스 보호 보호 구글 플레이 . 이러한 기능은 Android에서 보안 취약점이 성공적으로 악용될 가능성을 줄입니다.

  • Android 플랫폼의 최신 버전에서 향상된 기능으로 인해 Android의 많은 문제에 대한 악용이 더 어려워졌습니다. 가능한 경우 모든 사용자가 최신 버전의 Android로 업데이트할 것을 권장합니다.
  • 를 통해 불량 안드로이드 보안 팀이 적극적으로 모니터 구글은 보호 플레이 와에 대한 사용자 경고 잠재적으로 유해한 응용 프로그램 . 구글과 장치에서 기본적으로 활성화되어 보호 플레이 구글 모바일 서비스 , 및 Google Play의 외부에서 응용 프로그램을 설치하는 사용자에게 특히 중요하다.

2021-12-01 보안 패치 수준 취약점 세부 정보

아래 섹션에서는 2021-12-01 패치 수준에 적용되는 각 보안 취약점에 대한 세부 정보를 제공합니다. 취약점은 영향을 받는 구성 요소 아래에 그룹화됩니다. 문제는 아래 표에 설명 된 CVE ID, 관련 참고 문헌 포함하는 취약점의 유형 , 정도 , 업데이트 AOSP 버전을 (해당되는 경우). 가능한 경우 문제를 해결한 공개 변경 사항을 AOSP 변경 목록과 같은 버그 ID에 연결합니다. 여러 변경 사항이 단일 버그와 관련된 경우 추가 참조는 버그 ID 뒤에 오는 번호에 연결됩니다. 안드로이드 10있는 장치는 보안 업데이트뿐만 아니라 나타날 수 있습니다 구글 플레이 시스템 업데이트를 .

뼈대

이 섹션의 가장 심각한 취약점은 권한이나 사용자 상호 작용이 필요하지 않은 로컬 공격자에 의한 메모리 손상으로 이어질 수 있습니다.

CVE 참고문헌 유형 심각성 업데이트된 AOSP 버전
CVE-2021-0955 A-192085766 EOP 높은 11
CVE-2021-0970 A-196970023 EOP 높은 9, 10, 11, 12
CVE-2021-0704 A-179338675 ID 높은 9, 10, 11

미디어 프레임워크

이 섹션의 가장 심각한 취약점은 추가 실행 권한 없이 원격 정보 공개로 이어질 수 있습니다.

CVE 참고문헌 유형 심각성 업데이트된 AOSP 버전
CVE-2021-0967 A-199065614 ID 높은 10, 11, 12
RCE 비판적인 9
CVE-2021-0964 A-193363621 ID 높은 9, 10, 11, 12

체계

이 섹션의 가장 심각한 취약점으로 인해 원격 공격자가 권한 있는 프로세스의 컨텍스트 내에서 임의의 코드를 실행할 수 있습니다.

CVE 참고문헌 유형 심각성 업데이트된 AOSP 버전
CVE-2021-0968 A-197868577 RCE 비판적인 9, 10, 11, 12
CVE-2021-0956 A-189942532 EOP 비판적인 11, 12
CVE-2021-0953 A-184046278 EOP 높은 9, 10, 11, 12
CVE-2021-0954 A-143559931 EOP 높은 10, 11
CVE-2021-0963 A-199,754,277 [ 2 ] EOP 높은 9, 10, 11, 12
CVE-2021-0965 A-194300867 EOP 높은 9, 10, 11, 12
CVE-2021-0952 A-195748381 ID 높은 9, 10, 11, 12
CVE-2021-0966 A-198346478 ID 높은 11, 12
CVE-2021-0958 A-200041882 DoS 보통의 11, 12
CVE-2021-0969 A-199922685 DoS 보통의 10, 11

Google Play 시스템 업데이트

Project Mainline 구성 요소에는 다음 문제가 포함되어 있습니다.

요소 CVE
미디어 코덱 CVE-2021-0964
미디어 코덱, 미디어 프레임워크 구성 요소 CVE-2021-0967

2021-12-05 보안 패치 수준 취약점 세부 정보

아래 섹션에서는 2021-12-05 패치 수준에 적용되는 각 보안 취약점에 대한 세부 정보를 제공합니다. 취약점은 영향을 받는 구성 요소 아래에 그룹화됩니다. 문제는 아래 표에 설명 된 CVE ID, 관련 참고 문헌 포함하는 취약점의 유형 , 정도 , 업데이트 AOSP 버전을 (해당되는 경우). 가능한 경우 문제를 해결한 공개 변경 사항을 AOSP 변경 목록과 같은 버그 ID에 연결합니다. 여러 변경 사항이 단일 버그와 관련된 경우 추가 참조는 버그 ID 뒤에 오는 번호에 연결됩니다.

미디어 프레임워크

이 섹션의 취약점은 추가 실행 권한이 필요하지 않은 원격 정보 공개로 이어질 수 있습니다.
CVE 참고문헌 유형 심각성 업데이트된 AOSP 버전
CVE-2021-0971 A-188893559 ID 높은 9, 10, 11, 12

커널 구성 요소

이 섹션의 가장 심각한 취약점은 정수 오버플로, 범위를 벗어난 쓰기 및 권한이 없는 사용자가 루트로 에스컬레이션할 수 있습니다.
CVE 참고문헌 유형 심각성 요소
CVE-2021-33909 A-195082750
업스트림 커널
EOP 높은 파일 시스템
CVE-2021-38204 A-196448784
업스트림 커널
EOP 높은 USB
CVE-2021-0961 A-196046570
업스트림 커널 [ 2 ] [ 3 ]
ID 보통의 넷필터

MediaTek 구성 요소

이러한 취약점은 MediaTek 구성 요소에 영향을 미치며 자세한 내용은 MediaTek에서 직접 확인할 수 있습니다. 이러한 문제의 심각도 평가는 MediaTek에서 직접 제공합니다.

CVE 참고문헌 심각성 요소
CVE-2021-0675
A-201895896
M-ALPS06064258 *
높은 알락 디코더
CVE-2021-0904
A-201779035
M-ALPS06076938 *
높은 스램롬

Qualcomm 구성 요소

이러한 취약점은 Qualcomm 구성 요소에 영향을 미치며 해당 Qualcomm 보안 게시판 또는 보안 경고에 자세히 설명되어 있습니다. 이러한 문제의 심각도 평가는 Qualcomm에서 직접 제공합니다.

CVE 참고문헌 심각성 요소
CVE-2021-30262
A-190402578
QC-CR#2774954
높은 모뎀
CVE-2021-30335
A-199191310
QC-CR#2964455
높은 핵심
CVE-2021-30337
A-199190644
QC-CR#2971293
높은 핵심

Qualcomm 폐쇄 소스 구성 요소

이러한 취약점은 Qualcomm 비공개 소스 구성 요소에 영향을 미치며 해당 Qualcomm 보안 게시판 또는 보안 경고에 자세히 설명되어 있습니다. 이러한 문제의 심각도 평가는 Qualcomm에서 직접 제공합니다.

CVE 참고문헌 심각성 요소
CVE-2021-30275
A-190403081 * 비판적인 비공개 소스 구성 요소
CVE-2021-30276
A-190404445 * 비판적인 비공개 소스 구성 요소
CVE-2021-30351
A-201430561 * 비판적인 비공개 소스 구성 요소
CVE-2020-11263
A-190404447 * 높은 비공개 소스 구성 요소
CVE-2021-1894
A-190404405 * 높은 비공개 소스 구성 요소
CVE-2021-1918
A-190403729 * 높은 비공개 소스 구성 요소
CVE-2021-30267
A-190403212 * 높은 비공개 소스 구성 요소
CVE-2021-30268
A-190404446 * 높은 비공개 소스 구성 요소
CVE-2021-30269
A-190403511 * 높은 비공개 소스 구성 요소
CVE-2021-30270
A-190402575 * 높은 비공개 소스 구성 요소
CVE-2021-30271
A-190404402 * 높은 비공개 소스 구성 요소
CVE-2021-30272
A-190404323 * 높은 비공개 소스 구성 요소
CVE-2021-30273
A-190404403 * 높은 비공개 소스 구성 요소
CVE-2021-30274
A-190403731 * 높은 비공개 소스 구성 요소
CVE-2021-30278
A-190403213 * 높은 비공개 소스 구성 요소
CVE-2021-30279
A-190402580 * 높은 비공개 소스 구성 요소
CVE-2021-30282
A-190404328 * 높은 비공개 소스 구성 요소
CVE-2021-30283
A-190403513 * 높은 비공개 소스 구성 요소
CVE-2021-30289
A-190404404 * 높은 비공개 소스 구성 요소
CVE-2021-30293
A-190404327 * 높은 비공개 소스 구성 요소
CVE-2021-30303
A-199192449 * 높은 비공개 소스 구성 요소
CVE-2021-30336
A-199191065 * 높은 비공개 소스 구성 요소

Google Play 시스템 업데이트

Project Mainline 구성 요소에는 다음 문제가 포함되어 있습니다.

요소 CVE
미디어 프레임워크 구성 요소 CVE-2021-0971

일반적인 질문과 답변

이 섹션에서는 이 게시판을 읽은 후 발생할 수 있는 일반적인 질문에 대한 답변을 제공합니다.

1. 내 장치가 이러한 문제를 해결하도록 업데이트되었는지 어떻게 확인합니까?

, 장치의 보안 패치 수준을 확인 참조하는 방법을 배우려면 체크를하고 안드로이드 버전을 업데이트 .

  • 2021-12-01 이상의 보안 패치 수준은 2021-12-01 보안 패치 수준과 관련된 모든 문제를 해결합니다.
  • 2021-12-05 이상의 보안 패치 수준은 2021-12-05 보안 패치 수준 및 모든 이전 패치 수준과 관련된 모든 문제를 해결합니다.

이러한 업데이트를 포함하는 장치 제조업체는 패치 문자열 수준을 다음으로 설정해야 합니다.

  • [ro.build.version.security_patch]:[2021-12-01]
  • [ro.build.version.security_patch]:[2021-12-05]

Android 10 이상의 일부 기기의 경우 Google Play 시스템 업데이트에는 2021-12-01 보안 패치 수준과 일치하는 날짜 문자열이 있습니다. 참조하시기 바랍니다 이 문서 보안 업데이트를 설치하는 방법에 대한 자세한 내용을.

2. 이 게시판에 두 가지 보안 패치 수준이 있는 이유는 무엇입니까?

이 게시판에는 두 가지 보안 패치 수준이 있으므로 Android 파트너는 모든 Android 기기에서 유사한 취약점의 하위 집합을 보다 빠르게 수정할 수 있습니다. Android 파트너는 이 게시판의 모든 문제를 수정하고 최신 보안 패치 수준을 사용하는 것이 좋습니다.

  • 2021-12-01 보안 패치 수준을 사용하는 장치에는 해당 보안 패치 수준과 관련된 모든 문제와 이전 보안 게시판에서 보고된 모든 문제에 대한 수정 사항이 포함되어야 합니다.
  • 2021-12-05 이상의 보안 패치 수준을 사용하는 장치는 이(및 이전) 보안 게시판에 적용 가능한 모든 패치를 포함해야 합니다.

파트너는 단일 업데이트에서 해결 중인 모든 문제에 대한 수정 사항을 번들로 제공하는 것이 좋습니다.

유형 열 평균의 항목을 무엇 3.?

취약점의 유형 열 항목은 표 참조에게 보안 취약점의 분류를 자세히 설명합니다.

약어 정의
RCE 원격 코드 실행
EOP 권한 상승
ID 정보 공개
DoS 서비스 거부
해당 없음 분류 불가

참조 열 평균의 항목을 무엇 4.?

취약점 정보 테이블의 참조 열에서의 항목은 기준치가 속하는 조직을 특정하는 프리픽스를 포함 할 수있다.

접두사 참조
ㅏ- 안드로이드 버그 ID
품질 관리- Qualcomm 참조 번호
중- MediaTek 참조 번호
N- NVIDIA 참조 번호
비- Broadcom 참조 번호
유- UNISOC 참조 번호

5. 참조 열 평균의 안드로이드 버그 ID에 * 다음에 무엇을?

공개되지 않은 문제는 해당 참조 ID 옆에 *가 표시됩니다. 이 문제점에 대한 업데이트는 일반적에서 사용할 픽셀 장치에 대한 최신 바이너리 드라이버에 포함 된 구글 개발자 사이트 .

6. 이 게시판과 Pixel 게시판과 같은 장치/파트너 보안 게시판 간에 보안 취약점이 분할되는 이유는 무엇입니까?

이 보안 게시판에 설명된 보안 취약점은 Android 장치에서 최신 보안 패치 수준을 선언하는 데 필요합니다. 장치/파트너 보안 게시판에 문서화된 추가 보안 취약성은 보안 패치 수준을 선언하는 데 필요하지 않습니다. 안드로이드 장치 및 칩셋 제조 업체는 또한 다음과 같은 제품에 보안 취약점 정보의 특정을 게시 할 수 있습니다 구글 , 화웨이 , LG 전자 , 모토로라 , 노키아 , 또는 삼성 .

버전

버전 날짜 노트
1.0 2021년 12월 6일 게시판 출시
1.1 2021년 12월 8일 AOSP 링크를 포함하도록 수정된 게시판