פורסם ב-7 ביוני 2021 | עודכן ב-8 ביוני 2021
בחדשות האבטחה של Android יש פרטים על נקודות חולשה שמשפיעות על מכשירי Android. תיקוני אבטחה מרמה 2021-06-05 ואילך פותרים את כל הבעיות האלה. במאמר איך בודקים ומעדכנים את גרסת Android שמותקנת במכשיר מוסבר איך בודקים את רמת תיקוני האבטחה במכשיר.
שותפי Android מקבלים הודעה על כל הבעיות לפחות חודש לפני הפרסום. תיקונים של קוד המקור לבעיות האלה פורסמו במאגר של פרויקט הקוד הפתוח של Android (AOSP) ומקושרים בפרסום הזה. העלון הזה כולל גם קישורים לתיקונים מחוץ ל-AOSP.
הבעיה החמורה ביותר היא פגיעות אבטחה קריטית ברכיב System, שיכולה לאפשר לתוקף מרוחק להשתמש בשידור שנוצר במיוחד כדי להריץ קוד שרירותי בהקשר של תהליך עם הרשאות. הערכת חומרת הפגיעות מבוססת על ההשפעה האפשרית של ניצול הפגיעות על מכשיר מושפע, בהנחה שהפלטפורמה והשירותים להפחתת הסיכון מושבתים למטרות פיתוח או אם נעקפו בהצלחה.
הודעות
- ביולי, עדכון האבטחה הדחוף הציבורי של Android יפורסמו ב-7 ביולי 2021
בקטע אמצעי ההגנה של Android ו-Google Play Protect מפורטים אמצעי ההגנה של פלטפורמת האבטחה של Android ו-Google Play Protect, שמשפרים את האבטחה של פלטפורמת Android.
אמצעי מניעה בשירותי Google וב-Android
זהו סיכום של אמצעי ההגנה שמוצעים על ידי פלטפורמת האבטחה של Android והגנות השירותים, כמו Google Play Protect. היכולות האלה מפחיתות את הסיכוי שנקודות חולשה באבטחה ינוצלו לרעה ב-Android.
- השיפורים בגרסאות חדשות יותר של פלטפורמת Android מקשים על ניצול של הרבה בעיות ב-Android. מומלץ לכל המשתמשים לעדכן לגרסה האחרונה של Android, אם אפשר.
- צוות האבטחה של Android עוקב באופן פעיל אחרי התנהלות פוגעת באמצעות Google Play Protect, ומזהיר משתמשים מפני אפליקציות שעלולות להזיק. Google Play Protect מופעל כברירת מחדל במכשירים עם שירותי Google לנייד, והוא חשוב במיוחד למשתמשים שמתקינים אפליקציות ממקורות אחרים ולא מחנות Google Play.
פרטים על נקודת החולשה ברמת תיקוני האבטחה – 01.06.2021
בקטעים הבאים מפורטות כל נקודות החולשה באבטחה שרלוונטיות לרמת התיקון 2021-06-01. נקודות החולשה מקובצות לפי הרכיב שהן משפיעות עליו. בטבלאות שבהמשך מפורטות הבעיות, כולל מזהה CVE, הפניות למקורות חיצוניים, סוג נקודת החולשה, חומרת הבעיה ומספרי הגרסאות המעודכנות של AOSP (אם רלוונטי). כשאפשר אנחנו מקשרים את התיקון שפורסם ופותר את הבעיה למזהה של הבאג, כמו ברשימת השינויים ב-AOSP. אם כמה עדכונים קשורים לאותו באג, אנחנו מקשרים מקורות נוספים למספרים שמופיעים אחרי המזהה של הבאג. במכשירים עם Android מגרסה 10 ואילך, יכול להיות שיתקבלו עדכוני אבטחה וגם עדכוני מערכת של Google Play.
סביבת זמן ריצה ל-Android (ART)
נקודת החולשה שמתוארת בקטע הזה מאפשרת לתוקף מקומי להריץ קוד שרירותי ולעקוף את הדרישות לאינטראקציה עם המשתמש, כדי לקבל גישה להרשאות נוספות.
| CVE | קובצי עזר | סוג | מידת החומרה | גרסאות AOSP מעודכנות |
|---|---|---|---|---|
| CVE-2021-0511 | A-178055795 [2] [3] | EoP | גבוהה | 9, 10, 11 |
Framework
נקודת החולשה שמתוארת בקטע הזה עלולה להוביל לחשיפת מידע מקומי של הרשאות בין משתמשים, בלי שיידרשו הרשאות ביצוע נוספות.
| CVE | קובצי עזר | סוג | מידת החומרה | גרסאות AOSP מעודכנות |
|---|---|---|---|---|
| CVE-2021-0521 | A-174661955 | מזהה | גבוהה | 8.1, 9, 10, 11 |
Media Framework
נקודת החולשה החמורה ביותר בקטע הזה יכולה לאפשר לאפליקציה זדונית מקומית לעקוף את הדרישות לאינטראקציה עם המשתמש כדי לקבל גישה להרשאות נוספות.
| CVE | קובצי עזר | סוג | מידת החומרה | גרסאות AOSP מעודכנות |
|---|---|---|---|---|
| CVE-2021-0508 | A-176444154 | EoP | גבוהה | 8.1, 9, 10, 11 |
| CVE-2021-0509 | A-176444161 [2] | EoP | גבוהה | 8.1, 9, 10, 11 |
| CVE-2021-0510 | A-176444622 | EoP | גבוהה | 8.1, 9, 10, 11 |
| CVE-2021-0520 | A-176237595 | EoP | גבוהה | 10, 11 |
מערכת
הפגיעות החמורה ביותר בקטע הזה יכולה לאפשר לתוקף מרחוק להריץ קוד שרירותי בהקשר של תהליך עם הרשאות, באמצעות שידור שנוצר במיוחד.
| CVE | קובצי עזר | סוג | מידת החומרה | גרסאות AOSP מעודכנות |
|---|---|---|---|---|
| CVE-2021-0507 | A-181860042 | RCE | קריטית | 8.1, 9, 10, 11 |
| CVE-2021-0516 | A-181660448 | EoP | קריטית | 8.1, 9, 10, 11 |
| CVE-2021-0505 | A-179975048 | EoP | גבוהה | 11 |
| CVE-2021-0506 | A-181962311 | EoP | גבוהה | 8.1, 9, 10, 11 |
| CVE-2021-0523 | A-174047492 | EoP | גבוהה | 10, 11 |
| CVE-2021-0504 | A-179162665 | מזהה | גבוהה | 11 |
| CVE-2021-0517 | A-179053823 | מזהה | גבוהה | 11 |
| CVE-2021-0522 | A-174182139 | מזהה | גבוהה | 9, 10, 11 |
עדכוני מערכת של Google Play
אין בעיות אבטחה שעדכוני המערכת של Google Play (Project Mainline) פותרים החודש.
פרטים על נקודת החולשה ברמת תיקוני האבטחה – 05.06.2021
בקטעים הבאים מפורטות כל נקודות החולשה באבטחה שרלוונטיות לרמת התיקון 2021-06-05. נקודות החולשה מקובצות לפי הרכיב שהן משפיעות עליו. בטבלאות שבהמשך מפורטות הבעיות, כולל מזהה CVE, הפניות למקורות חיצוניים, סוג נקודת החולשה, חומרת הבעיה ומספרי הגרסאות המעודכנות של AOSP (אם רלוונטי). כשאפשר אנחנו מקשרים את התיקון שפורסם ופותר את הבעיה למזהה של הבאג, כמו ברשימת השינויים ב-AOSP. אם כמה עדכונים קשורים לאותו באג, אנחנו מקשרים מקורות נוספים למספרים שמופיעים אחרי המזהה של הבאג.
Framework
נקודת החולשה שמתוארת בקטע הזה יכולה לאפשר לאפליקציה זדונית מקומית לעקוף את הדרישות לאינטראקציה עם המשתמש כדי לקבל גישה להרשאות נוספות.
| CVE | קובצי עזר | סוג | מידת החומרה | גרסאות AOSP מעודכנות |
|---|---|---|---|---|
| CVE-2021-0513 | A-156090809 | EoP | גבוהה | 8.1, 9, 10, 11 |
מערכת
פרצת האבטחה החמורה ביותר בקטע הזה עלולה לאפשר לתוקף מרחוק להשיג הרשאות נוספות באמצעות שידור שנוצר במיוחד.
| CVE | קובצי עזר | סוג | מידת החומרה | גרסאות AOSP מעודכנות |
|---|---|---|---|---|
| CVE-2020-26555 | A-174626251 | EoP | גבוהה | 8.1, 9, 10, 11 |
| CVE-2020-26558 | A-174886838 | EoP | גבוהה | 8.1, 9, 10, 11 |
| CVE-2021-0478 | A-169255797 | EoP | גבוהה | 8.1, 9, 10, 11 |
רכיבי ליבה
נקודת החולשה החמורה ביותר בקטע הזה עלולה להוביל להעלאת הרשאות מקומית ללא צורך בהרשאות ביצוע נוספות.
| CVE | קובצי עזר | סוג | מידת החומרה | רכיב |
|---|---|---|---|---|
| CVE-2020-14305 | A-174904512
Upstream kernel |
EoP | גבוהה | Voice Over IP H.323 |
| CVE-2021-0512 | A-173843328
Upstream kernel |
EoP | גבוהה | HID |
רכיבים של MediaTek
הנקודות האלה של חולשת האבטחה משפיעות על רכיבי MediaTek, ופרטים נוספים זמינים ישירות מ-MediaTek. הערכת חומרת הבעיות האלה מסופקת ישירות על ידי MediaTek.
| CVE | הפניות למקור חיצוני | מידת החומרה | רכיב |
|---|---|---|---|
| CVE-2021-0525 | A-185193929
M-ALPS05403499* |
גבוהה | מנהל זיכרון |
| CVE-2021-0526 | A-185195264
M-ALPS05403499* |
גבוהה | מנהל זיכרון |
| CVE-2021-0527 | A-185193931
M-ALPS05403499* |
גבוהה | מנהל זיכרון |
| CVE-2021-0528 | A-185195266
M-ALPS05403499 * |
גבוהה | מנהל זיכרון |
| CVE-2021-0529 | A-185195268
M-ALPS05403499* |
גבוהה | מנהל זיכרון |
| CVE-2021-0530 | A-185196175
M-ALPS05403499 * |
גבוהה | מנהל זיכרון |
| CVE-2021-0531 | A-185195272
M-ALPS05403499* |
גבוהה | מנהל זיכרון |
| CVE-2021-0532 | A-185196177
M-ALPS05403499* |
גבוהה | מנהל זיכרון |
| CVE-2021-0533 | A-185193932
M-ALPS05403499* |
גבוהה | מנהל זיכרון |
רכיבים של Qualcomm
נקודת החולשה הזו משפיעה על רכיבים של Qualcomm, והיא מתוארת בפירוט נוסף בעדכון האבטחה הדחוף או בהתראת האבטחה המתאימים של Qualcomm. הערכת חומרת הבעיה מסופקת ישירות על ידי Qualcomm.
| CVE | הפניות למקור חיצוני | מידת החומרה | רכיב |
|---|---|---|---|
| CVE-2020-11267 | A-168918351
QC-CR#2723768 [2] [3] |
גבוהה | אבטחה |
רכיבים של Qualcomm שהקוד שלהם סגור
נקודות החולשה האלה משפיעות על רכיבים של Qualcomm שהקוד שלהם סגור, והן מתוארות בפירוט בעדכון האבטחה הדחוף או בהתראת האבטחה המתאימים של Qualcomm. הערכת החומרה של הבעיות האלה מסופקת ישירות על ידי Qualcomm.
| CVE | הפניות למקור חיצוני | מידת החומרה | רכיב |
|---|---|---|---|
| CVE-2020-11176 | A-175038159* | קריטית | רכיב שהקוד שלו סגור |
| CVE-2020-11291 | A-175038624* | קריטית | רכיב שהקוד שלו סגור |
| CVE-2020-26558 | A-179039983* | קריטית | רכיב שהקוד שלו סגור |
| CVE-2020-11292 | A-171309888* | גבוהה | רכיב שהקוד שלו סגור |
| CVE-2020-11298 | A-175038385* | גבוהה | רכיב שהקוד שלו סגור |
| CVE-2020-11304 | A-167567084* | גבוהה | רכיב שהקוד שלו סגור |
| CVE-2020-11306 | A-175038981* | גבוהה | רכיב שהקוד שלו סגור |
| CVE-2020-26555 | A-181682537* | גבוהה | רכיב שהקוד שלו סגור |
| CVE-2021-1900 | A-181682536* | גבוהה | רכיב שהקוד שלו סגור |
| CVE-2021-1925 | A-179040020* | גבוהה | רכיב שהקוד שלו סגור |
| CVE-2021-1937 | A-181682513* | גבוהה | רכיב שהקוד שלו סגור |
תשובות לשאלות נפוצות
בקטע הזה תמצאו תשובות לשאלות נפוצות שיכולות לעלות אחרי שתקראו את פרטי העדכון הזה.
1. איך אפשר לבדוק אם המכשיר שלי קיבל את העדכון שפותר את הבעיות האלה?
במאמר איך בודקים ומעדכנים את גרסת Android שמותקנת במכשיר מוסבר איך בודקים את רמת תיקוני האבטחה במכשיר.
- תיקוני אבטחה מרמה 2021-06-01 ואילך פותרים את כל הבעיות שמשויכות להם.
- תיקוני אבטחה מרמה 2021-06-05 ואילך פותרים את כל הבעיות שמשויכות להם וגם את אלה שמשויכות לתיקונים קודמים.
יצרני מכשירים שכוללים את העדכונים האלה צריכים להגדיר את הרמה של מחרוזת התיקון לערך הבא:
- [ro.build.version.security_patch]:[2021-06-01]
- [ro.build.version.security_patch]:[2021-06-05]
במכשירים מסוימים עם Android מגרסה 10 ואילך, לעדכון מערכת של Google Play יהיה מחרוזת תאריך שתואמת לרמת תיקוני האבטחה 2021-06-01. במאמר הזה מוסבר איך להתקין עדכוני אבטחה.
2. למה בחדשות האבטחה האלה יש שתי רמות של תיקוני אבטחה?
בחדשות האבטחה האלה יש שתי רמות של תיקוני אבטחה, כדי ששותפי Android יוכלו לתקן במהירות רבה יותר קבוצת משנה של נקודות חולשה שדומות בכל מכשירי Android. אנחנו ממליצים לשותפי Android לפתור את כל הבעיות שמפורטות בעדכון הזה ולהשתמש ברמת תיקוני האבטחה הכי עדכנית.
- מכשירים שמשתמשים בתיקון האבטחה ברמה 2021-06-01 חייבים לכלול את כל הבעיות שמשויכות לרמת תיקון האבטחה הזו, וגם תיקונים לכל הבעיות שדווחו בחדשות האבטחה הקודמות.
- מכשירים שמשתמשים בתיקוני אבטחה ברמה 2021-06-05 ואילך חייבים לכלול את כל התיקונים הרלוונטיים בחדשות האבטחה האלה (ובקודמות).
אנחנו ממליצים לשותפים לאגד את התיקונים לכל הבעיות שהם מטפלים בהן בעדכון אחד.
3. מה המשמעות של הערכים בעמודה סוג?
הערכים בעמודה סוג בטבלת הפרטים של נקודות החולשה מתייחסים לסיווג שלהן.
| קיצור | ההגדרה |
|---|---|
| RCE | הרצת קוד מרחוק |
| EoP | רמת הרשאה גבוהה יותר |
| ID | חשיפת מידע |
| מניעת שירות (DoS) | התקפת מניעת שירות |
| N/A | אין סיווג |
4. מה המשמעות של הערכים בעמודה הפניות למקורות חיצוניים?
מידע על הערכים בעמודה הפניות למקורות חיצוניים בטבלה של פרטי נקודות החולשה: יש מקרים שבהם לערך יש תחילית שמציינת לאיזה ארגון משויך מקור המידע החיצוני.
| תחילית | מקור המידע החיצוני |
|---|---|
| A- | מזהה הבאג ב-Android |
| QC- | מספר סימוכין של Qualcomm |
| M- | מספר סימוכין של MediaTek |
| N- | מספר סימוכין של NVIDIA |
| B- | מספר סימוכין של Broadcom |
5. מה המשמעות של הכוכבית (*) לצד מזהה הבאג ב-Android בעמודה הפניות למקור חיצוני?
אם הנתונים על הבעיה לא פורסמו לציבור הרחב, יש סימן * לצד מזהה ההפניה המתאים. העדכון לבעיה הזו בדרך כלל כלול במנהלי ההתקנים הבינאריים העדכניים ביותר למכשירי Pixel שזמינים באתר המפתחים של Google.
6. למה חלק מנקודות החולשה מפורטות כאן וחלק בחדשות האבטחה של מכשירים או שותפים, כמו החדשות של Pixel?
נקודות חולשה באבטחה שמתועדות בעדכון אבטחה דחוף זה נדרשות כדי להצהיר על רמת תיקוני האבטחה העדכנית ביותר במכשירי Android. אין צורך לתעד נקודות חולשה נוספות שמתועדות בעדכוני אבטחה דחופים של מכשירים / שותפים בשביל הצהרה על רמת תיקוני האבטחה. יצרנים של מכשירי Android וערכות שבבים עשויים לפרסם גם פרטים על פגיעויות אבטחה שספציפיות למוצרים שלהם, כמו Google, Huawei, LGE, Motorola, Nokia או Samsung.
גרסאות
| הגרסה | תאריך | הערות |
|---|---|---|
| 1.0 | 7 ביוני 2021 | עדכון האבטחה פורסם |
| 1.1 | 8 ביוני 2021 | שונה תוכן העלון כדי לכלול קישורים ל-AOSP |