Google cam kết thúc đẩy công bằng chủng tộc cho Cộng đồng người da đen. Xem cách thực hiện.

Bản tin bảo mật Android — tháng 3 năm 2022

Công bố ngày 07 tháng ba năm 2022 | Cập nhật ngày 05 tháng 4 năm 2022

Android Security Bulletin chứa các chi tiết của lỗ hổng bảo mật ảnh hưởng đến các thiết bị Android. mức vá bảo mật của 2022/03/05 hoặc địa chỉ sau tất cả những vấn đề này. Để tìm hiểu làm thế nào để kiểm tra mức độ bản vá bảo mật của thiết bị, xem Kiểm tra và cập nhật phiên bản Android của bạn .

các đối tác Android được thông báo về tất cả các vấn đề ít nhất một tháng trước khi xuất bản. mã nguồn bản vá lỗi cho những vấn đề này đã được phát hành cho (AOSP) kho dự án mã nguồn mở Android và liên kết từ các thông báo này. Bản tin này cũng bao gồm các liên kết đến các bản vá lỗi bên ngoài của AOSP.

Nghiêm trọng nhất của những vấn đề này là một lỗ hổng bảo mật quan trọng trong thành phần hệ thống có thể dẫn đến sự leo thang từ xa đặc quyền không có đặc quyền thực hiện bổ sung cần thiết. Các đánh giá mức độ nghiêm trọng được dựa trên hiệu quả mà khai thác các lỗ hổng có thể sẽ có trên một thiết bị bị ảnh hưởng, giả định nền tảng và dịch vụ giải pháp giảm thiểu được tắt cho các mục đích phát triển hoặc nếu bỏ qua thành công.

Tham khảo Android và Google Play giảm thiểu tác động Protect phần để biết chi tiết về các biện pháp bảo vệ nền tảng bảo mật của Android và Google Play Protect, mà cải thiện an ninh của nền tảng Android.

giảm thiểu tác động dịch vụ Android và Google

Đây là một bản tóm tắt các giải pháp giảm thiểu được cung cấp bởi các nền tảng bảo mật của Android bảo vệ và dịch vụ như Google Play Protect . Những khả năng này làm giảm khả năng rằng lỗ hổng bảo mật có thể được khai thác thành công trên Android.

  • Khai thác đối với nhiều vấn đề trên Android đang trở nên khó khăn hơn bằng cách cải tiến trong phiên bản mới của nền tảng Android. Chúng tôi khuyến khích tất cả người dùng cập nhật lên phiên bản mới nhất của Android nếu có thể.
  • Nhóm nghiên cứu bảo mật của Android tích cực giám sát tình trạng lạm dụng thông qua Google Play Protect và cảnh báo người dùng về các ứng dụng gây hại . Google Play Protect được kích hoạt theo mặc định trên các thiết bị với Google Mobile Services , và đặc biệt quan trọng cho những người dùng cài đặt các ứng dụng từ bên ngoài Google Play.

2022/03/01 an ninh chi tiết cấp bản vá lỗ hổng

Trong phần dưới đây, chúng tôi cung cấp thông tin chi tiết cho mỗi lỗ hổng bảo mật áp dụng cho mức 2022/03/01 vá. Lỗ hổng được nhóm dưới các thành phần ảnh hưởng đến họ. Vấn đề này được mô tả trong bảng dưới đây và bao gồm CVE ID, tài liệu tham khảo liên quan, loại dễ bị tổn thương , mức độ nghiêm trọng , và các phiên bản cập nhật AOSP (nếu có). Khi có sẵn, chúng tôi liên kết sự thay đổi nào đó giải quyết vấn đề này với ID lỗi, như danh sách thay đổi AOSP. Khi có nhiều thay đổi liên quan đến một lỗi duy nhất, tài liệu tham khảo bổ sung liên quan đến các số sau ID lỗi. Thiết bị chạy Android 10 và sau đó có thể nhận được cập nhật bảo mật cũng như cập nhật hệ thống Google Play .

thời gian chạy Android

Lỗ hổng trong phần này có thể dẫn đến sự leo thang ở địa phương đặc quyền với quyền thực hiện hệ thống cần thiết.

CVE Người giới thiệu Gõ phím Mức độ nghiêm trọng phiên bản cập nhật AOSP
CVE-2.021-39.689 A-206090748 EOP Vừa phải 12

khung

Lỗ hổng nghiêm trọng nhất trong phần này có thể dẫn đến sự leo thang ở địa phương đặc quyền với quyền thực tài khoản cần thiết.

CVE Người giới thiệu Gõ phím Mức độ nghiêm trọng phiên bản cập nhật AOSP
CVE-2.021-39.692 A-209611539 EOP Cao 10, 11, 12
CVE-2.021-39.693 A-208662370 EOP Cao 12
CVE-2.021-39.695 A-209607944 EOP Cao 11
CVE-2.021-39.697 A-200813547 [ 2 ] EOP Cao 11, 12
CVE-2.021-39.690 A-204316511 DoS Cao 12

Media Framework

Lỗ hổng trong phần này có thể dẫn đến công bố thông tin từ xa không có đặc quyền thực hiện bổ sung cần thiết.

CVE Người giới thiệu Gõ phím Mức độ nghiêm trọng phiên bản cập nhật AOSP
CVE-2.021-39.667 A-205702093 TÔI Cao 10, 11, 12

Hệ thống

Lỗ hổng nghiêm trọng nhất trong phần này có thể dẫn đến sự leo thang từ xa đặc quyền không có đặc quyền thực hiện bổ sung cần thiết.

CVE Người giới thiệu Gõ phím Mức độ nghiêm trọng phiên bản cập nhật AOSP
CVE-2.021-39.708 A-206128341 EOP Phê bình 12
CVE-2021-0957 A-193149550 EOP Cao 10, 11, 12
CVE-2.021-39.701 A-212286849 EOP Cao 11, 12
CVE-2.021-39.702 A-205150380 EOP Cao 12
CVE-2.021-39.703 A-207057578 EOP Cao 12
CVE-2.021-39.704 A-209965481 EOP Cao 10, 11, 12
CVE-2.021-39.706 A-200164168 [ 2 ] EOP Cao 10, 11, 12
CVE-2.021-39.707 A-200688991 EOP Cao 10, 11, 12
CVE-2.021-39.709 A-208817618 EOP Cao 12

cập nhật hệ thống Google Play

Các vấn đề sau có trong thành phần dự án Mainline.

Thành phần CVE
Truyền thông Codecs CVE-2.021-39.667

2022/03/05 an ninh chi tiết cấp bản vá lỗ hổng

Trong phần dưới đây, chúng tôi cung cấp thông tin chi tiết cho mỗi lỗ hổng bảo mật áp dụng cho mức 2022/03/05 vá. Lỗ hổng được nhóm dưới các thành phần ảnh hưởng đến họ. Vấn đề này được mô tả trong bảng dưới đây và bao gồm CVE ID, tài liệu tham khảo liên quan, loại dễ bị tổn thương , mức độ nghiêm trọng , và các phiên bản cập nhật AOSP (nếu có). Khi có sẵn, chúng tôi liên kết sự thay đổi nào đó giải quyết vấn đề này với ID lỗi, như danh sách thay đổi AOSP. Khi có nhiều thay đổi liên quan đến một lỗi duy nhất, tài liệu tham khảo bổ sung liên quan đến các số sau ID lỗi.

khung

Lỗ hổng trong phần này có thể dẫn đến sự leo thang ở địa phương đặc quyền không có đặc quyền thực hiện bổ sung cần thiết.

CVE Người giới thiệu Gõ phím Mức độ nghiêm trọng phiên bản cập nhật AOSP
CVE-2.021-39.694 A-202312327 EOP Cao 12

thành phần hạt nhân

Lỗ hổng nghiêm trọng nhất trong phần này có thể dẫn đến sự leo thang ở địa phương đặc quyền không có đặc quyền thực hiện bổ sung cần thiết.

CVE Người giới thiệu Gõ phím Mức độ nghiêm trọng Thành phần
CVE-2.020-29.368 A-174738029
kernel thượng nguồn
EOP Cao Quản lý bộ nhớ hạt nhân
CVE-2.021-39.685 A-210292376
Kernel thượng nguồn [ 2 ] [ 3 ]
EOP Cao Linux
CVE-2.021-39.686 A-200688826
Kernel thượng nguồn [ 2 ] [ 3 ] [ 4 ]
EOP Cao Chất kết dính
CVE-2.021-39.698 A-185125206
Kernel thượng nguồn [ 2 ] [ 3 ] [ 4 ] [ 5 ]
EOP Cao kernel
CVE-2021-3655 A-197154735
Kernel thượng nguồn [ 2 ] [ 3 ] [ 4 ]
TÔI Cao SCTP

thành phần MediaTek

Những lỗ hổng ảnh hưởng đến các thành phần MediaTek và biết thêm chi tiết có sẵn trực tiếp từ MediaTek. Việc đánh giá mức độ nghiêm trọng của những vấn đề này được cung cấp trực tiếp bởi MediaTek.

CVE Người giới thiệu Mức độ nghiêm trọng Thành phần
CVE-2.022-20.047 A-213120685
M-ALPS05917489 *
Cao bộ giải mã video
CVE-2.022-20.048
A-213116796
M-ALPS05917502 *
Cao bộ giải mã video
CVE-2.022-20.053 A-213120689
M-ALPS06219097 *
Cao dịch vụ ims

linh kiện Qualcomm

Những lỗ hổng ảnh hưởng đến các thành phần Qualcomm và được mô tả chi tiết hơn trong các bản tin bảo mật thích hợp Qualcomm, an ninh cảnh báo. Việc đánh giá mức độ nghiêm trọng của những vấn đề này được cung cấp trực tiếp bởi Qualcomm.

CVE Người giới thiệu Mức độ nghiêm trọng Thành phần
CVE-2.021-35.088 A-204905738
QC-CR # 3007473
Cao WLAN
CVE-2.021-35.103
A-209481110
QC-CR # 3033509
Cao WLAN
CVE-2.021-35.105
A-209469958
QC-CR # 3034743 [ 2 ]
Cao Trưng bày
CVE-2.021-35.106
A-209481028
QC-CR # 3035196 [ 2 ]
Cao WLAN
CVE-2.021-35.117
A-209481202
QC-CR # 3028360
Cao WLAN

thành phần đóng nguồn Qualcomm

Những lỗ hổng ảnh hưởng đến các thành phần Qualcomm đóng nguồn và được mô tả chi tiết hơn trong các bản tin bảo mật thích hợp Qualcomm, an ninh cảnh báo. Việc đánh giá mức độ nghiêm trọng của những vấn đề này được cung cấp trực tiếp bởi Qualcomm.

CVE Người giới thiệu Mức độ nghiêm trọng Thành phần
CVE-2021-1942
A-199191104 * Phê bình thành phần mã nguồn đóng
CVE-2.021-35.110 A-209469768 * Phê bình thành phần mã nguồn đóng
CVE-2021-1950
A-199191539 * Cao thành phần mã nguồn đóng
CVE-2.021-30.328 A-199191341 * Cao thành phần mã nguồn đóng
CVE-2.021-30.329
A-199191831 * Cao thành phần mã nguồn đóng
CVE-2.021-30.332
A-199190643 * Cao thành phần mã nguồn đóng
CVE-2.021-30.333 A-199191889 * Cao thành phần mã nguồn đóng

cập nhật hệ thống Google Play

Các vấn đề sau có trong thành phần dự án Mainline.

Thành phần CVE
cho phép điều khiển CVE-2.021-39.694

câu hỏi thường gặp và câu trả lời

Phần này trả lời câu hỏi phổ biến có thể xảy ra sau khi đọc thông báo này.

1. Làm thế nào để xác định xem điện thoại của tôi được cập nhật để giải quyết những vấn đề này?

Để tìm hiểu làm thế nào để kiểm tra mức độ bản vá bảo mật của thiết bị, xem Kiểm tra và cập nhật phiên bản Android của bạn .

  • An ninh mức vá của 2022/03/01 hay muộn giải quyết tất cả các vấn đề liên quan đến mức độ vá 2022/03/01 an ninh.
  • An ninh mức vá của 2022/03/05 hay muộn giải quyết tất cả các vấn đề liên quan đến mức độ vá 2022/03/05 an ninh và các cấp bản vá trước.

sản xuất thiết bị bao gồm các bản cập nhật cần thiết lập các chuỗi mức vá để:

  • [Ro.build.version.security_patch]: [2022/03/01]
  • [Ro.build.version.security_patch]: [2022/03/05]

Đối với một số thiết bị trên Android 10 hoặc mới hơn, hệ thống chơi cập nhật Google sẽ có một chuỗi ngày đó phù hợp với mức vá 2022/03/01 an ninh. Xin vui lòng xem bài viết này để biết thêm chi tiết về cách cài đặt cập nhật bảo mật.

2. Tại sao thông báo này có hai cấp độ bản vá bảo mật?

Bản tin này có hai cấp độ bản vá bảo mật để các đối tác Android có sự linh hoạt để sửa chữa một tập hợp con của các lỗ hổng tương tự trên tất cả các thiết bị Android một cách nhanh chóng hơn. các đối tác Android được khuyến khích để sửa chữa tất cả các vấn đề trong bản tin này và sử dụng mức bản vá bảo mật mới nhất.

  • Thiết bị sử dụng mức vá 2022/03/01 an ninh phải bao gồm tất cả các vấn đề liên quan đến mức độ mà bản vá bảo mật, cũng như các bản sửa lỗi cho tất cả các vấn đề được báo cáo trong bản tin bảo mật trước đó.
  • Thiết bị sử dụng mức vá bảo mật của 2022/03/05 hoặc mới hơn phải bao gồm tất cả các bản vá lỗi được áp dụng trong việc này (và trước đó) bản tin bảo mật.

Đối tác được khuyến khích để bó các bản sửa lỗi cho tất cả các vấn đề mà họ đang giải quyết trong một cập nhật duy nhất.

3. Điều gì làm các mục trong cột trung bình Loại ?

Mục trong cột Type của lỗ hổng Các chi tiết về tài liệu tham khảo bảng phân loại của lỗ hổng bảo mật.

Tên viết tắt Sự định nghĩa
RCE thực thi mã từ xa
EOP Độ cao của vinh
TÔI Công bố thông tin
DoS Từ chối dịch vụ
N / A Phân loại không có sẵn

4. gì các mục trong tài liệu tham khảo cột trung bình?

Entries dưới References cột của bảng chi tiết lỗ hổng có thể chứa một tiền tố xác định việc tổ chức mà giá trị tham khảo thuộc.

Tiếp đầu ngữ Thẩm quyền giải quyết
MỘT- ID lỗi Android
QC- số tham chiếu Qualcomm
M số tham chiếu MediaTek
N- số tham chiếu NVIDIA
B- số tham chiếu Broadcom
U số tham chiếu UNISOC

5. gì một * bên cạnh ID lỗi Android trong References cột trung bình?

Vấn đề mà không phải là công khai sẵn có * bên cạnh ID tham chiếu tương ứng. Bản cập nhật cho vấn đề đó thường được chứa trong các trình điều khiển nhị phân mới nhất cho các thiết bị Pixel có sẵn từ các trang web Google Developer .

6. Tại sao các lỗ hổng bảo mật phân chia giữa thông báo này và thiết bị / bản tin bảo mật đối tác, chẳng hạn như bản tin Pixel?

Lỗ hổng bảo mật đã được diễn tả trong bản tin bảo mật này được yêu cầu phải công bố mức vá bảo mật mới nhất trên các thiết bị Android. lỗ hổng bảo mật bổ sung mà được diễn tả trong các bản tin bảo mật thiết bị / đối tác không phải kê khai mức vá bảo mật. Sản xuất thiết bị và chipset Android cũng có thể xuất bản các chi tiết lỗ hổng bảo mật cụ thể để sản phẩm của họ, chẳng hạn như Google , Huawei , LGE , Motorola , Nokia , hay Samsung .

phiên bản

Phiên bản Ngày tháng Ghi chú
1.0 Ngày 07 tháng ba năm 2022 Bulletin Phát hành
1.1 08 tháng 3 năm 2022 Bulletin sửa đổi để bao gồm liên kết AOSP
1.2 05 tháng 4 năm 2022 bảng CVE Revised