Android Security Bulletin chứa các chi tiết của lỗ hổng bảo mật ảnh hưởng đến các thiết bị Android. mức vá bảo mật của 2022/03/05 hoặc địa chỉ sau tất cả những vấn đề này. Để tìm hiểu làm thế nào để kiểm tra mức độ bản vá bảo mật của thiết bị, xem Kiểm tra và cập nhật phiên bản Android của bạn .
các đối tác Android được thông báo về tất cả các vấn đề ít nhất một tháng trước khi xuất bản. mã nguồn bản vá lỗi cho những vấn đề này đã được phát hành cho (AOSP) kho dự án mã nguồn mở Android và liên kết từ các thông báo này. Bản tin này cũng bao gồm các liên kết đến các bản vá lỗi bên ngoài của AOSP.
Nghiêm trọng nhất của những vấn đề này là một lỗ hổng bảo mật quan trọng trong thành phần hệ thống có thể dẫn đến sự leo thang từ xa đặc quyền không có đặc quyền thực hiện bổ sung cần thiết. Các đánh giá mức độ nghiêm trọng được dựa trên hiệu quả mà khai thác các lỗ hổng có thể sẽ có trên một thiết bị bị ảnh hưởng, giả định nền tảng và dịch vụ giải pháp giảm thiểu được tắt cho các mục đích phát triển hoặc nếu bỏ qua thành công.
Tham khảo Android và Google Play giảm thiểu tác động Protect phần để biết chi tiết về các biện pháp bảo vệ nền tảng bảo mật của Android và Google Play Protect, mà cải thiện an ninh của nền tảng Android.
giảm thiểu tác động dịch vụ Android và Google
Đây là một bản tóm tắt các giải pháp giảm thiểu được cung cấp bởi các nền tảng bảo mật của Android bảo vệ và dịch vụ như Google Play Protect . Những khả năng này làm giảm khả năng rằng lỗ hổng bảo mật có thể được khai thác thành công trên Android.
- Khai thác đối với nhiều vấn đề trên Android đang trở nên khó khăn hơn bằng cách cải tiến trong phiên bản mới của nền tảng Android. Chúng tôi khuyến khích tất cả người dùng cập nhật lên phiên bản mới nhất của Android nếu có thể.
- Nhóm nghiên cứu bảo mật của Android tích cực giám sát tình trạng lạm dụng thông qua Google Play Protect và cảnh báo người dùng về các ứng dụng gây hại . Google Play Protect được kích hoạt theo mặc định trên các thiết bị với Google Mobile Services , và đặc biệt quan trọng cho những người dùng cài đặt các ứng dụng từ bên ngoài Google Play.
2022/03/01 an ninh chi tiết cấp bản vá lỗ hổng
Trong phần dưới đây, chúng tôi cung cấp thông tin chi tiết cho mỗi lỗ hổng bảo mật áp dụng cho mức 2022/03/01 vá. Lỗ hổng được nhóm dưới các thành phần ảnh hưởng đến họ. Vấn đề này được mô tả trong bảng dưới đây và bao gồm CVE ID, tài liệu tham khảo liên quan, loại dễ bị tổn thương , mức độ nghiêm trọng , và các phiên bản cập nhật AOSP (nếu có). Khi có sẵn, chúng tôi liên kết sự thay đổi nào đó giải quyết vấn đề này với ID lỗi, như danh sách thay đổi AOSP. Khi có nhiều thay đổi liên quan đến một lỗi duy nhất, tài liệu tham khảo bổ sung liên quan đến các số sau ID lỗi. Thiết bị chạy Android 10 và sau đó có thể nhận được cập nhật bảo mật cũng như cập nhật hệ thống Google Play .
thời gian chạy Android
Lỗ hổng trong phần này có thể dẫn đến sự leo thang ở địa phương đặc quyền với quyền thực hiện hệ thống cần thiết.
| CVE | Người giới thiệu | Gõ phím | Mức độ nghiêm trọng | phiên bản cập nhật AOSP |
|---|---|---|---|---|
| CVE-2.021-39.689 | A-206090748 | EOP | Vừa phải | 12 |
khung
Lỗ hổng nghiêm trọng nhất trong phần này có thể dẫn đến sự leo thang ở địa phương đặc quyền với quyền thực tài khoản cần thiết.
| CVE | Người giới thiệu | Gõ phím | Mức độ nghiêm trọng | phiên bản cập nhật AOSP |
|---|---|---|---|---|
| CVE-2.021-39.692 | A-209611539 | EOP | Cao | 10, 11, 12 |
| CVE-2.021-39.693 | A-208662370 | EOP | Cao | 12 |
| CVE-2.021-39.695 | A-209607944 | EOP | Cao | 11 |
| CVE-2.021-39.697 | A-200813547 [ 2 ] | EOP | Cao | 11, 12 |
| CVE-2.021-39.690 | A-204316511 | DoS | Cao | 12 |
Media Framework
Lỗ hổng trong phần này có thể dẫn đến công bố thông tin từ xa không có đặc quyền thực hiện bổ sung cần thiết.
| CVE | Người giới thiệu | Gõ phím | Mức độ nghiêm trọng | phiên bản cập nhật AOSP |
|---|---|---|---|---|
| CVE-2.021-39.667 | A-205702093 | TÔI | Cao | 10, 11, 12 |
Hệ thống
Lỗ hổng nghiêm trọng nhất trong phần này có thể dẫn đến sự leo thang từ xa đặc quyền không có đặc quyền thực hiện bổ sung cần thiết.
| CVE | Người giới thiệu | Gõ phím | Mức độ nghiêm trọng | phiên bản cập nhật AOSP |
|---|---|---|---|---|
| CVE-2.021-39.708 | A-206128341 | EOP | Phê bình | 12 |
| CVE-2021-0957 | A-193149550 | EOP | Cao | 10, 11, 12 |
| CVE-2.021-39.701 | A-212286849 | EOP | Cao | 11, 12 |
| CVE-2.021-39.702 | A-205150380 | EOP | Cao | 12 |
| CVE-2.021-39.703 | A-207057578 | EOP | Cao | 12 |
| CVE-2.021-39.704 | A-209965481 | EOP | Cao | 10, 11, 12 |
| CVE-2.021-39.706 | A-200164168 [ 2 ] | EOP | Cao | 10, 11, 12 |
| CVE-2.021-39.707 | A-200688991 | EOP | Cao | 10, 11, 12 |
| CVE-2.021-39.709 | A-208817618 | EOP | Cao | 12 |
cập nhật hệ thống Google Play
Các vấn đề sau có trong thành phần dự án Mainline.
| Thành phần | CVE |
|---|---|
| Truyền thông Codecs | CVE-2.021-39.667 |
2022/03/05 an ninh chi tiết cấp bản vá lỗ hổng
Trong phần dưới đây, chúng tôi cung cấp thông tin chi tiết cho mỗi lỗ hổng bảo mật áp dụng cho mức 2022/03/05 vá. Lỗ hổng được nhóm dưới các thành phần ảnh hưởng đến họ. Vấn đề này được mô tả trong bảng dưới đây và bao gồm CVE ID, tài liệu tham khảo liên quan, loại dễ bị tổn thương , mức độ nghiêm trọng , và các phiên bản cập nhật AOSP (nếu có). Khi có sẵn, chúng tôi liên kết sự thay đổi nào đó giải quyết vấn đề này với ID lỗi, như danh sách thay đổi AOSP. Khi có nhiều thay đổi liên quan đến một lỗi duy nhất, tài liệu tham khảo bổ sung liên quan đến các số sau ID lỗi.
khung
Lỗ hổng trong phần này có thể dẫn đến sự leo thang ở địa phương đặc quyền không có đặc quyền thực hiện bổ sung cần thiết.
| CVE | Người giới thiệu | Gõ phím | Mức độ nghiêm trọng | phiên bản cập nhật AOSP |
|---|---|---|---|---|
| CVE-2.021-39.694 | A-202312327 | EOP | Cao | 12 |
thành phần hạt nhân
Lỗ hổng nghiêm trọng nhất trong phần này có thể dẫn đến sự leo thang ở địa phương đặc quyền không có đặc quyền thực hiện bổ sung cần thiết.
| CVE | Người giới thiệu | Gõ phím | Mức độ nghiêm trọng | Thành phần |
|---|---|---|---|---|
| CVE-2.020-29.368 | A-174738029 kernel thượng nguồn | EOP | Cao | Quản lý bộ nhớ hạt nhân |
| CVE-2.021-39.685 | A-210292376 Kernel thượng nguồn [ 2 ] [ 3 ] | EOP | Cao | Linux |
| CVE-2.021-39.686 | A-200688826 Kernel thượng nguồn [ 2 ] [ 3 ] [ 4 ] | EOP | Cao | Chất kết dính |
| CVE-2.021-39.698 | A-185125206 Kernel thượng nguồn [ 2 ] [ 3 ] [ 4 ] [ 5 ] | EOP | Cao | kernel |
| CVE-2021-3655 | A-197154735 Kernel thượng nguồn [ 2 ] [ 3 ] [ 4 ] | TÔI | Cao | SCTP |
thành phần MediaTek
Những lỗ hổng ảnh hưởng đến các thành phần MediaTek và biết thêm chi tiết có sẵn trực tiếp từ MediaTek. Việc đánh giá mức độ nghiêm trọng của những vấn đề này được cung cấp trực tiếp bởi MediaTek.
| CVE | Người giới thiệu | Mức độ nghiêm trọng | Thành phần |
|---|---|---|---|
| CVE-2.022-20.047 | A-213120685 M-ALPS05917489 * | Cao | bộ giải mã video |
| CVE-2.022-20.048 | A-213116796 M-ALPS05917502 * | Cao | bộ giải mã video |
| CVE-2.022-20.053 | A-213120689 M-ALPS06219097 * | Cao | dịch vụ ims |
linh kiện Qualcomm
Những lỗ hổng ảnh hưởng đến các thành phần Qualcomm và được mô tả chi tiết hơn trong các bản tin bảo mật thích hợp Qualcomm, an ninh cảnh báo. Việc đánh giá mức độ nghiêm trọng của những vấn đề này được cung cấp trực tiếp bởi Qualcomm.
| CVE | Người giới thiệu | Mức độ nghiêm trọng | Thành phần |
|---|---|---|---|
| CVE-2.021-35.088 | A-204905738 QC-CR # 3007473 | Cao | WLAN |
| CVE-2.021-35.103 | A-209481110 QC-CR # 3033509 | Cao | WLAN |
| CVE-2.021-35.105 | A-209469958 QC-CR # 3034743 [ 2 ] | Cao | Trưng bày |
| CVE-2.021-35.106 | A-209481028 QC-CR # 3035196 [ 2 ] | Cao | WLAN |
| CVE-2.021-35.117 | A-209481202 QC-CR # 3028360 | Cao | WLAN |
thành phần đóng nguồn Qualcomm
Những lỗ hổng ảnh hưởng đến các thành phần Qualcomm đóng nguồn và được mô tả chi tiết hơn trong các bản tin bảo mật thích hợp Qualcomm, an ninh cảnh báo. Việc đánh giá mức độ nghiêm trọng của những vấn đề này được cung cấp trực tiếp bởi Qualcomm.
| CVE | Người giới thiệu | Mức độ nghiêm trọng | Thành phần |
|---|---|---|---|
| CVE-2021-1942 | A-199191104 * | Phê bình | thành phần mã nguồn đóng |
| CVE-2.021-35.110 | A-209469768 * | Phê bình | thành phần mã nguồn đóng |
| CVE-2021-1950 | A-199191539 * | Cao | thành phần mã nguồn đóng |
| CVE-2.021-30.328 | A-199191341 * | Cao | thành phần mã nguồn đóng |
| CVE-2.021-30.329 | A-199191831 * | Cao | thành phần mã nguồn đóng |
| CVE-2.021-30.332 | A-199190643 * | Cao | thành phần mã nguồn đóng |
| CVE-2.021-30.333 | A-199191889 * | Cao | thành phần mã nguồn đóng |
cập nhật hệ thống Google Play
Các vấn đề sau có trong thành phần dự án Mainline.
| Thành phần | CVE |
|---|---|
| cho phép điều khiển | CVE-2.021-39.694 |
câu hỏi thường gặp và câu trả lời
Phần này trả lời câu hỏi phổ biến có thể xảy ra sau khi đọc thông báo này.
1. Làm thế nào để xác định xem điện thoại của tôi được cập nhật để giải quyết những vấn đề này?
Để tìm hiểu làm thế nào để kiểm tra mức độ bản vá bảo mật của thiết bị, xem Kiểm tra và cập nhật phiên bản Android của bạn .
- An ninh mức vá của 2022/03/01 hay muộn giải quyết tất cả các vấn đề liên quan đến mức độ vá 2022/03/01 an ninh.
- An ninh mức vá của 2022/03/05 hay muộn giải quyết tất cả các vấn đề liên quan đến mức độ vá 2022/03/05 an ninh và các cấp bản vá trước.
sản xuất thiết bị bao gồm các bản cập nhật cần thiết lập các chuỗi mức vá để:
- [Ro.build.version.security_patch]: [2022/03/01]
- [Ro.build.version.security_patch]: [2022/03/05]
Đối với một số thiết bị trên Android 10 hoặc mới hơn, hệ thống chơi cập nhật Google sẽ có một chuỗi ngày đó phù hợp với mức vá 2022/03/01 an ninh. Xin vui lòng xem bài viết này để biết thêm chi tiết về cách cài đặt cập nhật bảo mật.
2. Tại sao thông báo này có hai cấp độ bản vá bảo mật?
Bản tin này có hai cấp độ bản vá bảo mật để các đối tác Android có sự linh hoạt để sửa chữa một tập hợp con của các lỗ hổng tương tự trên tất cả các thiết bị Android một cách nhanh chóng hơn. các đối tác Android được khuyến khích để sửa chữa tất cả các vấn đề trong bản tin này và sử dụng mức bản vá bảo mật mới nhất.
- Thiết bị sử dụng mức vá 2022/03/01 an ninh phải bao gồm tất cả các vấn đề liên quan đến mức độ mà bản vá bảo mật, cũng như các bản sửa lỗi cho tất cả các vấn đề được báo cáo trong bản tin bảo mật trước đó.
- Thiết bị sử dụng mức vá bảo mật của 2022/03/05 hoặc mới hơn phải bao gồm tất cả các bản vá lỗi được áp dụng trong việc này (và trước đó) bản tin bảo mật.
Đối tác được khuyến khích để bó các bản sửa lỗi cho tất cả các vấn đề mà họ đang giải quyết trong một cập nhật duy nhất.
3. Điều gì làm các mục trong cột trung bình Loại ?
Mục trong cột Type của lỗ hổng Các chi tiết về tài liệu tham khảo bảng phân loại của lỗ hổng bảo mật.
| Tên viết tắt | Sự định nghĩa |
|---|---|
| RCE | thực thi mã từ xa |
| EOP | Độ cao của vinh |
| TÔI | Công bố thông tin |
| DoS | Từ chối dịch vụ |
| N / A | Phân loại không có sẵn |
4. gì các mục trong tài liệu tham khảo cột trung bình?
Entries dưới References cột của bảng chi tiết lỗ hổng có thể chứa một tiền tố xác định việc tổ chức mà giá trị tham khảo thuộc.
| Tiếp đầu ngữ | Thẩm quyền giải quyết |
|---|---|
| MỘT- | ID lỗi Android |
| QC- | số tham chiếu Qualcomm |
| M | số tham chiếu MediaTek |
| N- | số tham chiếu NVIDIA |
| B- | số tham chiếu Broadcom |
| U | số tham chiếu UNISOC |
5. gì một * bên cạnh ID lỗi Android trong References cột trung bình?
Vấn đề mà không phải là công khai sẵn có * bên cạnh ID tham chiếu tương ứng. Bản cập nhật cho vấn đề đó thường được chứa trong các trình điều khiển nhị phân mới nhất cho các thiết bị Pixel có sẵn từ các trang web Google Developer .
6. Tại sao các lỗ hổng bảo mật phân chia giữa thông báo này và thiết bị / bản tin bảo mật đối tác, chẳng hạn như bản tin Pixel?
Lỗ hổng bảo mật đã được diễn tả trong bản tin bảo mật này được yêu cầu phải công bố mức vá bảo mật mới nhất trên các thiết bị Android. lỗ hổng bảo mật bổ sung mà được diễn tả trong các bản tin bảo mật thiết bị / đối tác không phải kê khai mức vá bảo mật. Sản xuất thiết bị và chipset Android cũng có thể xuất bản các chi tiết lỗ hổng bảo mật cụ thể để sản phẩm của họ, chẳng hạn như Google , Huawei , LGE , Motorola , Nokia , hay Samsung .
phiên bản
| Phiên bản | Ngày tháng | Ghi chú |
|---|---|---|
| 1.0 | Ngày 07 tháng ba năm 2022 | Bulletin Phát hành |
| 1.1 | 08 tháng 3 năm 2022 | Bulletin sửa đổi để bao gồm liên kết AOSP |
| 1.2 | 05 tháng 4 năm 2022 | bảng CVE Revised |