חדשות האבטחה של Android מכילות פרטים על פרצות אבטחה משפיעה על מכשירי Android. רמות תיקון האבטחה מגרסה 5 בינואר 2022 ואילך לטיפול בכל הבעיות האלה. מידע נוסף על בדיקת תיקון האבטחה במכשיר שלב אחד, ראו בדיקה מעדכנים את גרסת Android.
שותפי Android מקבלים הודעות על כל הבעיות, חודש לפני הפרסום. לתיקונים של קוד המקור בבעיות האלה הושקו למאגר פרויקט הקוד הפתוח של Android (AOSP) וגם קישור אליו מהמבזק הזה. המבזק הזה כולל גם קישורים אל תיקונים מחוץ ל-AOSP
הבעיה החמורה ביותר של הבעיות האלה היא נקודת חולשה גבוהה של אבטחה ב-Android רכיב זמן ריצה שיכול לאפשר לתוקף מקומי לעקוף את הזיכרון הגבלות נוספות, כדי לקבל גישה להרשאות נוספות. הערכת החומרה מבוססת על ההשפעה האפשרית של ניצול פרצת האבטחה על מכשיר שהושפע, בהנחה שהפלטפורמה והמיטיגציות בשירות מושבתות למטרות פיתוח, או אם ניתן לעקוף אותה בהצלחה.
ראה Android ובסעיף המיטיגציות של Google Play Protect לקבלת פרטים על Android אמצעי הגנה על פלטפורמות אבטחה ו-Google Play Protect, שמשפרים את של פלטפורמת Android.
מיטיגציות בשירותי Android ו-Google
זהו סיכום של ההקלות שמסופקות על-ידי ב-Android פלטפורמת אבטחה ואמצעי הגנה על שירותים כמו Google Play Protect. היכולות האלה מפחיתות את הסיכון לפגיעה באבטחה ניצול בהצלחה ב-Android.
- קשה יותר לנצל בעיות רבות ב-Android על ידי שיפורים בגרסאות חדשות יותר של פלטפורמת Android. אנחנו ממליצים כל המשתמשים לעדכן לגרסה העדכנית ביותר של Android כשהדבר אפשרי.
- צוות האבטחה של Android עוקב באופן פעיל אחרי ניצול לרעה באמצעות Google Play Protect ומזהיר את המשתמשים מפני כנראה אפליקציות מזיקות. שירות Google Play Protect מופעל כברירת מחדל במכשירים עם Google Mobile Services, חשוב במיוחד למשתמשים שמתקינים אפליקציות מחוץ ל-Google Play.
פרטי נקודות חולשה ברמה של תיקון האבטחה לשנת 2022
בסעיפים הבאים אנחנו מציגים פרטים על כל אחת משיטות האבטחה נקודות חולשה שחלות על רמת התיקון בתאריך 1 בינואר 2022. נקודות החולשה הן שמקובצת מתחת לרכיב שעליו הם משפיעים. הבעיות מתוארות בטבלאות למטה וכוללים מזהה CVE, הפניות משויכות, סוג של נקודות חולשה, חומרה, וגרסאות AOSP מעודכנות (אם רלוונטי). כשהדבר זמין, אנחנו מקשרים את שינוי ציבורי שטיפל בבעיה במזהה הבאג, כמו רשימת השינויים של AOSP. כאשר מספר שינויים קשורים לבאג יחיד, הפניות נוספות מקושרות למספרים אחרי מזהה הבאג. מכשירים עם Android 10 ואילך עשויים לקבל עדכוני אבטחה וגם עדכוני מערכת של Play.
מסגרת
נקודת החולשה החמורה ביותר בקטע הזה עלולה לאפשר תוכנה זדונית מקומית של האפליקציה שיעקוף את הדרישות בנוגע לאינטראקציה של משתמשים בשביל לקבל גישה הרשאות נוספות.
| CVE | קובצי עזר | סוג | מידת החומרה | גרסאות AOSP מעודכנות |
|---|---|---|---|---|
| CVE-2021-39630 | A-202768292 | ליש"ט | רחב | 12 |
| CVE-2021-39632 | A-202159709 | ליש"ט | רחב | 11, 12 |
| CVE-2020-0338 | A-123700107 | מזהה | רחב | 9, 10 |
מסגרת מדיה
נקודת החולשה בקטע הזה עלולה להוביל להעברה לטיפול ברמה גבוהה יותר של מרחוק ללא הרשאות ביצוע נוספות או אינטראקציה עם המשתמש.
| CVE | קובצי עזר | סוג | מידת החומרה | גרסאות AOSP מעודכנות |
|---|---|---|---|---|
| CVE-2021-39623 | A-194105348 | ליש"ט | רחב | 9, 10, 11, 12 |
מערכת
נקודת החולשה החמורה ביותר בקטע הזה עלולה לאפשר תוקף בעל הרשאות שיתקין חבילות קיימות בלי שיבקש את הסכמת המשתמש.
| CVE | קובצי עזר | סוג | מידת החומרה | גרסאות AOSP מעודכנות |
|---|---|---|---|---|
| CVE-2021-39618 | A-196855999 * | ליש"ט | רחב | 9, 10, 11, 12 |
| CVE-2021-39620 | A-203847542 | ליש"ט | רחב | 11, 12 |
| CVE-2021-39621 | A-185126319 | ליש"ט | רחב | 9, 10, 11, 12 |
| CVE-2021-39622 | A-192663648 * | ליש"ט | רחב | 10, 11, 12 |
| CVE-2021-39625 | A-194695347 * | ליש"ט | רחב | 9, 10, 11, 12 |
| CVE-2021-39626 | A-194695497 | ליש"ט | רחב | 9, 10, 11, 12 |
| CVE-2021-39627 | A-185126549 | ליש"ט | רחב | 9, 10, 11, 12 |
| CVE-2021-39629 | A-197353344 | ליש"ט | רחב | 9, 10, 11, 12 |
| CVE-2021-0643 | A-183612370 | מזהה | רחב | 10, 11, 12 |
| CVE-2021-39628 | A-189575031 | מזהה | רחב | 10, 11 |
| CVE-2021-39659 | A-208267659 | מניעת שירות (DoS) | רחב | 10, 11, 12 |
עדכוני מערכת של Google Play
אין בעיות אבטחה שטופלו בעדכוני המערכת של Google Play (Project Mainline) החודש.
נקודת חולשה ברמה של תיקון האבטחה בשנת 2022 פרטים
בסעיפים הבאים אנחנו מציגים פרטים על כל אחת משיטות האבטחה נקודות חולשה שחלות על רמת התיקון בתאריך 5 בינואר 2022. נקודות החולשה הן שמקובצת מתחת לרכיב שעליו הן משפיעות. הבעיות מתוארות בטבלאות למטה וכוללים מזהה CVE, הפניות משויכות, סוג של נקודות חולשה, חומרה, וגרסאות AOSP מעודכנות (אם רלוונטי). כשהדבר זמין, אנחנו מקשרים את הציבור שינוי שטיפל בבעיה במזהה הבאג, כמו רשימת השינויים של AOSP. כאשר מספר שינויים קשורים לבאג יחיד, הפניות נוספות מקושרות למספרים אחרי מזהה הבאג.
סביבת זמן ריצה ב-Android
נקודת החולשה בקטע הזה עלולה לאפשר לתוקף מקומי לעקוף מגבלות זיכרון כדי לקבל גישה להרשאות נוספות.
| CVE | קובצי עזר | סוג | מידת החומרה | גרסאות AOSP מעודכנות |
|---|---|---|---|---|
| CVE-2021-0959 | A-200284993 | ליש"ט | רחב | 12 |
רכיבי הליבה
נקודת החולשה החמורה ביותר בקטע הזה עלולה להוביל הסלמת הרשאות (privilege escalation) עקב מרוץ תהליכים, ללא תוספת נדרשות הרשאות ביצוע או אינטראקציה של המשתמש.
| CVE | קובצי עזר | סוג | מידת החומרה | רכיב |
|---|---|---|---|---|
| CVE-2021-39634 | A-204450605 ליבה (kernel) של upstream |
ליש"ט | רחב | ליבה |
| CVE-2021-39633 | A-150694665 ליבה (kernel) של upstream |
מזהה | רחב | ליבה |
ערוץ LTS של ליבה
גרסאות הליבה הבאות עודכנו.
| קובצי עזר | גרסת הפעלה של Android | גרסת השקת ליבה | גרסת השקה מינימלית |
|---|---|---|---|
| A-182179492 | 11 | 5.4 | 5.4.86 |
רכיבי MediaTek
נקודות החולשה האלה משפיעות על רכיבי MediaTek, ופרטים נוספים ישירות מ-MediaTek. הערכת החומרה של הבעיות האלה היא סופקו ישירות על ידי MediaTek.
| CVE | קובצי עזר | מידת החומרה | רכיב |
|---|---|---|---|
| CVE-2021-31345 | A-207693368 M- MOLY00756840 * |
רחב | מודם (Nucleus NET TCP/IP) |
| CVE-2021-31346 | A-207646334 M-MOLY00756840 * |
רחב | מודם (Nucleus NET TCP/IP) |
| CVE-2021-31890 | A-207646336 M-MOLY00756840 * |
רחב | מודם (Nucleus NET TCP/IP) |
| CVE-2021-40148 | A-204728248 M-MOLY00716585 * |
רחב | EMM של מודם |
| CVE-2021-31889 | A-207646335 M-MOLY00756840 * |
רחב | מודם (Nucleus NET TCP/IP) |
רכיבי Unisoc
נקודת החולשה הזו משפיעה על רכיבי Unisoc ויש פרטים נוספים ישירות מ-Unisoc. הערכת חומרת הבעיה ניתנת ישירות מאת Unisoc.
| CVE | קובצי עזר | מידת החומרה | רכיב |
|---|---|---|---|
| CVE-2021-1049 | A-204256722 U-1733219 * |
רחב | slogmodem |
רכיבי Qualcomm
נקודות החולשה האלה משפיעות על רכיבי Qualcomm ומתוארות בפירוט את הפרטים האלה בעדכון האבטחה המתאים של Qualcomm או בהתראת האבטחה. הערכת החומרה של הבעיות האלה מסופקת ישירות על ידי Qualcomm.
| CVE | קובצי עזר | מידת החומרה | רכיב |
|---|---|---|---|
| CVE-2021-30319 | A-202025735 QC-CR#2960714 |
רחב | רשת WLAN |
| CVE-2021-30353 | A-202025599 QC-CR#2993069 [2] |
רחב | אודיו |
רכיבי מקור סגור של Qualcomm
נקודות החולשה האלה משפיעות על רכיבי הקוד הסגור של Qualcomm ומתוארות בפירוט רב יותר בעדכון האבטחה או באבטחה המתאימים של Qualcomm התראה. הערכת החומרה של הבעיות האלה מסופקת ישירות על ידי Qualcomm.
| CVE | קובצי עזר | מידת החומרה | רכיב |
|---|---|---|---|
| CVE-2021-30285 | A-193070555 * | קריטי | רכיב ממקור סגור |
| CVE-2021-30287 | A-193070556 * | רחב | רכיב ממקור סגור |
| CVE-2021-30300 | A-193071116 * | רחב | רכיב ממקור סגור |
| CVE-2021-30301 | A-193070342 * | רחב | רכיב ממקור סגור |
| CVE-2021-30307 | A-193070700 * | רחב | רכיב ממקור סגור |
| CVE-2021-30308 | A-193070594 * | רחב | רכיב ממקור סגור |
| CVE-2021-30311 | A-193070557 * | רחב | רכיב ממקור סגור |
שאלות נפוצות ותשובות
בקטע הזה מפורטות תשובות לשאלות נפוצות שעשויות להופיע לאחר קריאת המאמר מבזק
1. איך אפשר לבדוק אם המכשיר שלי מעודכן לטיפול בבעיות האלה?
כדי ללמוד איך לבדוק את הרמה של תיקון האבטחה במכשיר, ראו בדיקה ועדכון של גרסת Android.
- רמות תיקון האבטחה מגרסה 1 בינואר 2022 ואילך מתייחסות לכל הבעיות שמשויכת לרמת תיקון האבטחה משנת 2022.
- רמות תיקון האבטחה מגרסה 5 בינואר 2022 ואילך מתייחסות לכל הבעיות שמשויכות ברמת תיקון האבטחה לשנת 2022 וכל רמות התיקון הקודמות.
יצרני מכשירים שכוללים את העדכונים האלה צריכים להגדיר את רמת מחרוזת התיקון כ:
- [ro.build.version.security_patch]:[2022-01-01]
- [ro.build.version.security_patch]:[2022-01.05]
במכשירים מסוימים עם Android מגרסה 10 ואילך, עדכון המערכת של Google Play מחרוזת תאריך שתואמת לרמת תיקון האבטחה לשנת 2022. כדאי לעיין הזה לפרטים נוספים על אופן ההתקנה של עדכוני אבטחה.
2. למה יש שתי רמות של תיקון אבטחה למבזק הזה?
העדכון הזה כולל שתי רמות של תיקוני אבטחה כדי שלשותפי Android תהיה גמישות לתקן במהירות קבוצת משנה של נקודות חולשה שדומות בכל מכשירי Android. אנחנו ממליצים לשותפי Android לפתור את כל הבעיות בעדכון הזה ולהשתמש ברמה העדכנית ביותר של תיקון האבטחה.
- מכשירים שנעשה בהם שימוש ברמה של תיקון האבטחה בגרסת 1 בינואר 2022 חייבים לכלול את כל שקשורות לרמת תיקון האבטחה הזו, וגם תיקונים עבור כל הבעיות שדווחו בעדכון האבטחה הקודם.
- במכשירים עם תיקון אבטחה מגרסה 2022.01.05 ואילך חייבים כוללים את כל התיקונים הרלוונטיים בעדכון האבטחה הזה (והקודם).
אנחנו ממליצים לשותפים לאגד יחד את התיקונים לכל הבעיות שהם מציגים התייחסות בעדכון יחיד.
3. מה המשמעות של הערכים שבעמודה סוג?
ערכים בעמודה סוג בטבלת פרטי נקודות החולשה את הסיווג של פרצת האבטחה.
| קיצור | הגדרה |
|---|---|
| RCE | ביצוע קוד מרחוק |
| ליש"ט | העלאת רמת הרשאה |
| מזהה | חשיפת מידע |
| מניעת שירות (DoS) | התקפת מניעת שירות (DoS) |
| לא רלוונטי | הסיווג לא זמין |
4. מה המשמעות של הרשומות בעמודה References (קובצי עזר)?
רשומות מתחת לעמודה References (קובצי עזר) של פרטי פרצת האבטחה עשויה להכיל קידומת המזהה את הארגון שאליו ההפניה שייך לערך מסוים.
| תחילית | חומרי עזר |
|---|---|
| A- | מזהה באג ב-Android |
| QC- | מספר סימוכין של Qualcomm |
| M- | מספר סימוכין של MediaTek |
| N- | מספר סימוכין של NVIDIA |
| B- | מספר סימוכין של Broadcom |
| U- | מספר סימוכין של UNISOC |
5. מה עושה * לצד מזהה הבאג ב-Android מה המשמעות של העמודה References (הפניות)?
ליד בעיות שלא זמינות לכולם יש סימן * מזהה ההפניה. העדכון עבור הבעיה הזו מופיע בדרך כלל בגרסת מנהלי התקנים בינאריים למכשירי Pixel שזמינים Google אתר למפתחים.
6. מדוע נקודות החולשה באבטחה מחולקות בין המבזק הזה לבין עדכוני אבטחה של המכשיר או השותפים, למשל Pixel מבזק?
פרצות האבטחה המתועדות בעדכון האבטחה הזה הן שנדרש להצהיר על הרמה האחרונה של תיקון האבטחה במכשירי Android. פרצות אבטחה נוספות שמתועדות במכשיר או אצל השותף עדכוני אבטחה לא נדרשים להצהרה על רמת תיקון אבטחה. יצרנים של מכשירי Android וערכות שבבים עשויים גם לפרסם אמצעי אבטחה את פרטי נקודות החולשה הספציפיים למוצרים שלהם, כגון Google, Huawei, LGE, מוטורולה, Nokia, או Samsung.
גרסאות
| גרסה | תאריך | הערות |
|---|---|---|
| 1.0 | 4 בינואר, 2022 | המבזק פורסם |
| 1.1 | 5 בינואר, 2022 | המבזק עודכן וכולל קישורים ל-AOSP |
| 2.0 | 10 בינואר, 2022 | טבלת CVE מתוקנת |