Android 安全公告 - 2021 年 12 月

2021 年 12 月 6 日發布 | 2021 年 12 月 8 日更新

Android 安全公告包含影響 Android 設備的安全漏洞的詳細信息。 2021-12-05 或更高版本的安全補丁級別解決了所有這些問題。要了解如何檢查設備的安全補丁級別,請檢查並更新Android版本

Android 合作夥伴至少會在發布前一個月收到所有問題的通知。 Android 合作夥伴至少會在發布前一個月收到所有問題的通知。這些問題的源代碼補丁已發佈到 Android 開源項目 (AOSP) 存儲庫並從此公告鏈接。此公告還包含指向 AOSP 之外的補丁的鏈接

這些問題中最嚴重的是媒體框架組件中的一個嚴重安全漏洞,該漏洞可能導致遠程信息洩露,無需額外的執行權限。該嚴重性的評估是基於效果利用此漏洞將可能有一個受影響的設備上,假設平台和服務緩解被關閉為發展宗旨,或者如果成功繞過。

請參閱Android和谷歌播放保護緩解部分的詳細說明對Android安全保護平台和谷歌播放保護,這對提高Android平台的安全性。

Android 和 Google 服務緩解措施

這是由提供的緩解措施的總結Android安全平台和服務的保護,如谷歌播放保護。這些功能降低了在 Android 上成功利用安全漏洞的可能性。

  • 較新版本的 Android 平台的增強使得利用 Android 上的許多問題變得更加困難。我們鼓勵所有用戶盡可能更新到最新版本的 Android。
  • 而Android安全團隊通過積極監測濫用谷歌播放保護,並警告有關用戶可能有害的應用。谷歌播放保護默認啟用與設備的谷歌手機服務,是誰從谷歌播放之外安裝應用程序的用戶尤為重要。

2021-12-01 安全補丁級別漏洞詳情

在以下部分中,我們提供了適用於 2021-12-01 補丁級別的每個安全漏洞的詳細信息。漏洞在它們影響的組件下分組。問題在下面的表中描述了與包括CVE ID,相關聯的引用,脆弱性的類型嚴重程度,和更新的版本AOSP(如果適用)。如果可用,我們會將解決問題的公共更改鏈接到錯誤 ID,例如 AOSP 更改列表。當多個更改與單個錯誤相關時,附加參考將鏈接到錯誤 ID 後面的數字。與Android 10及更高版本的設備可能會收到安全更新以及谷歌播放系統更新

框架

本節中最嚴重的漏洞可能會導致本地攻擊者破壞內存,無需特權或用戶交互。

CVE參考類型嚴重性更新的 AOSP 版本
CVE-2021-0955 A-192085766收貨人高的11
CVE-2021-0970 A-196970023收貨人高的9、10、11、12
CVE-2021-0704 A-179338675 ID高的9、10、11

媒體框架

本節中最嚴重的漏洞可能導致遠程信息洩露,無需額外的執行權限。

CVE參考類型嚴重性更新的 AOSP 版本
CVE-2021-0967 A-199065614 ID高的10、11、12
再生能源認證危急9
CVE-2021-0964 A-193363621 ID高的9、10、11、12

系統

本節中最嚴重的漏洞可能使遠程攻擊者能夠在特權進程的上下文中執行任意代碼。

CVE參考類型嚴重性更新的 AOSP 版本
CVE-2021-0968 A-197868577再生能源認證危急9、10、11、12
CVE-2021-0956 A-189942532收貨人危急11、12
CVE-2021-0953 A-184046278收貨人高的9、10、11、12
CVE-2021-0954 A-143559931收貨人高的10、11
CVE-2021-0963 A-199754277 [ 2 ]收貨人高的9、10、11、12
CVE-2021-0965 A-194300867收貨人高的9、10、11、12
CVE-2021-0952 A-195748381 ID高的9、10、11、12
CVE-2021-0966 A-198346478 ID高的11、12
CVE-2021-0958 A-200041882拒絕服務緩和11、12
CVE-2021-0969 A-199922685拒絕服務緩和10、11

Google Play 系統更新

Project Mainline 組件中包含以下問題。

成分CVE
媒體編解碼器CVE-2021-0964
媒體編解碼器、媒體框架組件CVE-2021-0967

2021-12-05 安全補丁級別漏洞詳情

在下面的部分中,我們提供了適用於 2021-12-05 補丁級別的每個安全漏洞的詳細信息。漏洞在它們影響的組件下分組。問題在下面的表中描述了與包括CVE ID,相關聯的引用,脆弱性的類型嚴重程度,和更新的版本AOSP(如果適用)。如果可用,我們會將解決問題的公共更改鏈接到錯誤 ID,例如 AOSP 更改列表。當多個更改與單個錯誤相關時,附加參考將鏈接到錯誤 ID 後面的數字。

媒體框架

此部分中的漏洞可能導致遠程信息洩露,無需額外的執行權限。
CVE參考類型嚴重性更新的 AOSP 版本
CVE-2021-0971 A-188893559 ID高的9、10、11、12

內核組件

本節中最嚴重的漏洞可能導致整數溢出、越界寫入以及非特權用戶升級為 root。
CVE參考類型嚴重性成分
CVE-2021-33909 A-195082750
上游內核
收貨人高的文件系統
CVE-2021-38204 A-196448784
上游內核
收貨人高的USB
CVE-2021-0961 A-196046570
上游內核[ 2 ] [ 3 ]
ID緩和網絡過濾器

聯發科組件

這些漏洞影響聯發科組件,更多詳細信息可直接從聯發科獲得。這些問題的嚴重性評估由聯發科直接提供。

CVE參考嚴重性成分
CVE-2021-0675
A-201895896
M-ALPS06064258 *
高的alac解碼器
CVE-2021-0904
A-201779035
M-ALPS06076938 *
高的隨機存取存儲器

高通組件

這些漏洞會影響 Qualcomm 組件,並在相應的 Qualcomm 安全公告或安全警報中進行了更詳細的描述。這些問題的嚴重性評估由高通直接提供。

CVE參考嚴重性成分
CVE-2021-30262
A-190402578
QC-CR#2774954
高的調製解調器
CVE-2021-30335
A-199191310
QC-CR#2964455
高的核心
CVE-2021-30337
A-199190644
QC-CR#2971293
高的核心

高通閉源組件

這些漏洞會影響 Qualcomm 的閉源組件,並在相應的 Qualcomm 安全公告或安全警報中進行了更詳細的描述。這些問題的嚴重性評估由高通直接提供。

CVE參考嚴重性成分
CVE-2021-30275
A-190403081 *危急閉源組件
CVE-2021-30276
A-190404445 *危急閉源組件
CVE-2021-30351
A-201430561 *危急閉源組件
CVE-2020-11263
A-190404447 *高的閉源組件
CVE-2021-1894
A-190404405 *高的閉源組件
CVE-2021-1918
A-190403729 *高的閉源組件
CVE-2021-30267
A-190403212 *高的閉源組件
CVE-2021-30268
A-190404446 *高的閉源組件
CVE-2021-30269
A-190403511 *高的閉源組件
CVE-2021-30270
A-190402575 *高的閉源組件
CVE-2021-30271
A-190404402 *高的閉源組件
CVE-2021-30272
A-190404323 *高的閉源組件
CVE-2021-30273
A-190404403 *高的閉源組件
CVE-2021-30274
A-190403731 *高的閉源組件
CVE-2021-30278
A-190403213 *高的閉源組件
CVE-2021-30279
A-190402580 *高的閉源組件
CVE-2021-30282
A-190404328 *高的閉源組件
CVE-2021-30283
A-190403513 *高的閉源組件
CVE-2021-30289
A-190404404 *高的閉源組件
CVE-2021-30293
A-190404327 *高的閉源組件
CVE-2021-30303
A-199192449 *高的閉源組件
CVE-2021-30336
A-199191065 *高的閉源組件

Google Play 系統更新

Project Mainline 組件中包含以下問題。

成分CVE
媒體框架組件CVE-2021-0971

常見問題和解答

本節回答閱讀本公告後可能出現的常見問題。

1. 如何確定我的設備是否已更新以解決這些問題?

要了解如何檢查設備的安全補丁級別,請檢查並更新Android版本

  • 2021-12-01 或更高版本的安全補丁級別解決了與 2021-12-01 安全補丁級別相關的所有問題。
  • 2021-12-05 或更高版本的安全補丁級別解決了與 2021-12-05 安全補丁級別和所有以前的補丁級別相關的所有問題。

包含這些更新的設備製造商應將補丁字符串級別設置為:

  • [ro.build.version.security_patch]:[2021-12-01]
  • [ro.build.version.security_patch]:[2021-12-05]

對於使用 Android 10 或更高版本的某些設備,Google Play 系統更新將具有與 2021-12-01 安全補丁級別匹配的日期字符串。請參閱本文中有關如何安裝安全更新的更多細節。

2. 為什麼這個公告有兩個安全補丁級別?

該公告有兩個安全補丁級別,以便 Android 合作夥伴能夠靈活地更快速地修復所有 Android 設備上相似的漏洞子集。鼓勵 Android 合作夥伴修復此公告中的所有問題並使用最新的安全補丁級別。

  • 使用 2021-12-01 安全補丁級別的設備必須包含與該安全補丁級別相關的所有問題,以及針對之前安全公告中報告的所有問題的修復。
  • 使用 2021-12-05 或更新的安全補丁級別的設備必須在此(和之前的)安全公告中包含所有適用的補丁。

鼓勵合作夥伴將他們正在解決的所有問題的修復程序捆綁在一個更新中。

3.什麼類型列中的平均值做分錄?

在漏洞的類型列項目的詳細信息表引用安全漏洞的分類。

縮寫定義
再生能源認證遠程代碼執行
收貨人特權提升
ID信息披露
拒絕服務拒絕服務
不適用分類不可用

4.什麼在引用列均值做分錄?

漏洞細節表的參考文獻列下的條目可以包含一個前綴標識所述參考值所屬的組織。

字首參考
一種- Android 錯誤 ID
質量控制-高通參考號
M-聯發科參考編號
N-英偉達參考編號
乙-博通參考號
U-紫光展銳參考號

5.什麼的*旁邊的參照列平均Android的錯誤ID?

不公開的問題在相應的參考 ID 旁邊有一個 *。該問題的更新通常包含在最新的二進制驅動從可用像素器件谷歌開發者網站

6. 為什麼安全漏洞會在此公告和設備/合作夥伴安全公告(例如 Pixel 公告)之間分開?

此安全公告中記錄的安全漏洞需要在 Android 設備上聲明最新的安全補丁級別。聲明安全補丁級別不需要設備/合作夥伴安全公告中記錄的其他安全漏洞。 Android設備和芯片組製造商也可能會發布安全漏洞的細節具體到他們的產品,如谷歌華為LG電子摩托羅拉諾基亞三星

版本

版本日期筆記
1.0 2021 年 12 月 6 日公告發布
1.1 2021 年 12 月 8 日修訂公告以包含 AOSP 鏈接