กระดานข่าวความปลอดภัยของ Android—เมษายน 2022

เผยแพร่เมื่อ 4 เมษายน 2022 | อัปเดตเมื่อวันที่ 5 เมษายน 2022

กระดานข่าวความปลอดภัยของ Android มีรายละเอียดของช่องโหว่ด้านความปลอดภัยที่ส่งผลต่ออุปกรณ์ Android ระดับโปรแกรมแก้ไขความปลอดภัยของ 2022-04-05 หรือใหม่กว่าแก้ไขปัญหาเหล่านี้ทั้งหมด หากต้องการเรียนรู้วิธีตรวจสอบระดับแพตช์ความปลอดภัยของอุปกรณ์ โปรดดู ตรวจสอบและอัปเดตเวอร์ชัน Android ของคุณ

พันธมิตร Android จะได้รับแจ้งเกี่ยวกับปัญหาทั้งหมดอย่างน้อยหนึ่งเดือนก่อนเผยแพร่ โปรแกรมแก้ไขซอร์สโค้ดสำหรับปัญหาเหล่านี้ได้รับการเผยแพร่ไปยังที่เก็บ Android Open Source Project (AOSP) และลิงก์จากกระดานข่าวนี้ กระดานข่าวนี้ยังรวมถึงลิงก์ไปยังแพตช์นอก AOSP

ปัญหาที่รุนแรงที่สุดของปัญหาเหล่านี้คือช่องโหว่ด้านความปลอดภัยสูงในคอมโพเนนต์ Framework ที่อาจนำไปสู่การเพิ่มสิทธิ์ในเครื่องโดยไม่ต้องใช้สิทธิ์ในการดำเนินการเพิ่มเติม การประเมินความรุนแรง จะขึ้นอยู่กับผลกระทบของการใช้ประโยชน์จากช่องโหว่ที่อาจเกิดขึ้นกับอุปกรณ์ที่ได้รับผลกระทบ สมมติว่าแพลตฟอร์มและบริการปิดใช้งานเพื่อวัตถุประสงค์ในการพัฒนาหรือหากข้ามได้สำเร็จ

โปรดดูส่วน การลดระดับของ Android และ Google Play Protect สำหรับรายละเอียดเกี่ยวกับ การป้องกันแพลตฟอร์มความปลอดภัยของ Android และ Google Play Protect ซึ่งปรับปรุงความปลอดภัยของแพลตฟอร์ม Android

การบรรเทาบริการ Android และ Google

นี่คือบทสรุปของการบรรเทาผลกระทบที่มีให้โดย แพลตฟอร์มความปลอดภัยของ Android และการปกป้องบริการ เช่น Google Play Protect ความสามารถเหล่านี้ช่วยลดโอกาสที่ช่องโหว่ด้านความปลอดภัยจะถูกโจมตีบน Android ได้สำเร็จ

  • การใช้ประโยชน์จากปัญหามากมายบน Android นั้นยากขึ้นด้วยการปรับปรุงในแพลตฟอร์ม Android เวอร์ชันใหม่กว่า เราขอแนะนำให้ผู้ใช้ทุกคนอัปเดตเป็น Android เวอร์ชันล่าสุดหากเป็นไปได้
  • ทีมรักษาความปลอดภัยของ Android ตรวจสอบการละเมิดอย่างต่อเนื่องผ่าน Google Play Protect และเตือนผู้ใช้เกี่ยวกับ แอปพลิเคชันที่อาจเป็นอันตราย Google Play Protect เปิดใช้งานโดยค่าเริ่มต้นในอุปกรณ์ที่มี Google Mobile Services และมีความสำคัญอย่างยิ่งสำหรับผู้ใช้ที่ติดตั้งแอปจากนอก Google Play

2022-04-01 รายละเอียดช่องโหว่ระดับแพตช์ความปลอดภัย

ในส่วนด้านล่าง เราได้ให้รายละเอียดสำหรับช่องโหว่ด้านความปลอดภัยแต่ละรายการที่ใช้กับระดับแพตช์ 2022-04-01 ช่องโหว่ถูกจัดกลุ่มภายใต้องค์ประกอบที่ได้รับผลกระทบ มีการอธิบายปัญหาในตารางด้านล่างและรวมถึง CVE ID, การอ้างอิงที่เกี่ยวข้อง, ประเภทของช่องโหว่ , ความรุนแรง และเวอร์ชัน AOSP ที่อัปเดต (ถ้ามี) เมื่อพร้อมใช้งาน เราจะเชื่อมโยงการเปลี่ยนแปลงสาธารณะที่แก้ไขปัญหากับ ID จุดบกพร่อง เช่น รายการการเปลี่ยนแปลง AOSP เมื่อการเปลี่ยนแปลงหลายรายการเกี่ยวข้องกับข้อบกพร่องเดียว การอ้างอิงเพิ่มเติมจะเชื่อมโยงกับหมายเลขที่ตามหลังรหัสข้อบกพร่อง อุปกรณ์ที่ใช้ Android 10 และใหม่กว่าอาจได้รับการอัปเดตความปลอดภัย เช่นเดียวกับ การอัปเดตระบบ Google Play

กรอบ

ช่องโหว่ที่รุนแรงที่สุดในส่วนนี้อาจนำไปสู่การเพิ่มสิทธิ์ในเครื่องโดยไม่จำเป็นต้องมีสิทธิ์ดำเนินการเพิ่มเติม

ซีวี อ้างอิง พิมพ์ ความรุนแรง อัปเดตเวอร์ชัน AOSP
CVE-2021-0694 A-183147114 สพป สูง 11
CVE-2021-39794 A-205836329 สพป สูง 11, 12, 12L
CVE-2021-39796 A-205595291 สพป สูง 10, 11, 12, 12L
CVE-2021-39797 A-209607104 สพป สูง 12, 12L
CVE-2021-39798 A-213169612 สพป สูง 12, 12L
CVE-2021-39799 A-200288596 สพป สูง 12, 12L

กรอบสื่อ

ช่องโหว่ที่รุนแรงที่สุดในส่วนนี้อาจนำไปสู่การเปิดเผยข้อมูลจากระยะไกลโดยไม่จำเป็นต้องมีสิทธิ์ดำเนินการเพิ่มเติม

ซีวี อ้างอิง พิมพ์ ความรุนแรง อัปเดตเวอร์ชัน AOSP
CVE-2021-39803 A-193790350 รหัส สูง 10, 11, 12, 12L
CVE-2021-39804 A-215002587 อย สูง 11, 12, 12L

ระบบ

ช่องโหว่ที่รุนแรงที่สุดในส่วนนี้อาจนำไปสู่การเพิ่มสิทธิ์ในเครื่องโดยไม่จำเป็นต้องมีสิทธิ์ดำเนินการเพิ่มเติม

ซีวี อ้างอิง พิมพ์ ความรุนแรง อัปเดตเวอร์ชัน AOSP
CVE-2021-39808 A-209966086 สพป สูง 10, 11, 12
CVE-2021-39805 A-212694559 รหัส สูง 12, 12L
CVE-2021-39809 A-205837191 รหัส สูง 10, 11, 12, 12L

การอัปเดตระบบ Google Play

ปัญหาต่อไปนี้จะรวมอยู่ในส่วนประกอบ Project Mainline

ส่วนประกอบ ซีวี
ผู้ให้บริการสื่อ CVE-2021-39795
ตัวแปลงสัญญาณสื่อ CVE-2021-39803

2022-04-05 รายละเอียดช่องโหว่ระดับแพตช์ความปลอดภัย

ในส่วนด้านล่าง เราได้ให้รายละเอียดสำหรับช่องโหว่ด้านความปลอดภัยแต่ละรายการที่ใช้กับระดับแพตช์ 2022-04-05 ช่องโหว่ถูกจัดกลุ่มภายใต้องค์ประกอบที่ได้รับผลกระทบ มีการอธิบายปัญหาในตารางด้านล่างและรวมถึง CVE ID, การอ้างอิงที่เกี่ยวข้อง, ประเภทของช่องโหว่ , ความรุนแรง และเวอร์ชัน AOSP ที่อัปเดต (ถ้ามี) เมื่อพร้อมใช้งาน เราจะเชื่อมโยงการเปลี่ยนแปลงสาธารณะที่แก้ไขปัญหากับ ID จุดบกพร่อง เช่น รายการการเปลี่ยนแปลง AOSP เมื่อการเปลี่ยนแปลงหลายรายการเกี่ยวข้องกับข้อบกพร่องเดียว การอ้างอิงเพิ่มเติมจะเชื่อมโยงกับหมายเลขที่ตามหลังรหัสข้อบกพร่อง

ระบบ

ช่องโหว่ที่รุนแรงที่สุดในส่วนนี้อาจนำไปสู่การยกระดับสิทธิ์ในเครื่องจากบัญชี Guest โดยไม่จำเป็นต้องมีสิทธิ์ดำเนินการเพิ่มเติม

ซีวี อ้างอิง พิมพ์ ความรุนแรง อัปเดตเวอร์ชัน AOSP
CVE-2021-39807 A-209446496 สพป สูง 10, 11, 12, 12L

ส่วนประกอบเคอร์เนล

ช่องโหว่ที่รุนแรงที่สุดในส่วนนี้อาจนำไปสู่การเพิ่มสิทธิ์ในเครื่องโดยไม่จำเป็นต้องมีสิทธิ์ดำเนินการเพิ่มเติม

ซีวี อ้างอิง พิมพ์ ความรุนแรง ส่วนประกอบ
CVE-2021-0707 A-155756045
เคอร์เนลต้นน้ำ
สพป สูง dma-บัฟ
CVE-2021-39801 A-209791720
เคอร์เนลอัปสตรีม [ 2 ] [ 3 ]
สพป สูง ไอออน
CVE-2021-39802 A-213339151
เคอร์เนลอัปสตรีม [ 2 ] [ 3 ] [ 4 ]
สพป สูง การจัดการหน่วยความจำ
CVE-2021-39800 A-208277166
เคอร์เนลอัปสตรีม [ 2 ] [ 3 ]
รหัส สูง ไอออน

ส่วนประกอบ MediaTek

ช่องโหว่เหล่านี้ส่งผลกระทบต่อส่วนประกอบของ MediaTek และรายละเอียดเพิ่มเติมสามารถดูได้โดยตรงจาก MediaTek การประเมินความรุนแรงของปัญหาเหล่านี้จัดทำโดย MediaTek โดยตรง

ซีวี อ้างอิง ความรุนแรง ส่วนประกอบ
CVE-2022-20081
A-218242055
M-ALPS06461919 *
สูง เอ-จีพีเอส
CVE-2021-25477
ก-220262213
M-MOLY00684727 *
สูง โมเด็ม LTE RRC

ส่วนประกอบของวอลคอมม์

ช่องโหว่เหล่านี้ส่งผลกระทบต่อส่วนประกอบของ Qualcomm และมีการอธิบายในรายละเอียดเพิ่มเติมในกระดานข่าวความปลอดภัยของ Qualcomm ที่เหมาะสมหรือการแจ้งเตือนด้านความปลอดภัย การประเมินความรุนแรงของปัญหาเหล่านี้จัดทำโดย Qualcomm โดยตรง

ซีวี อ้างอิง ความรุนแรง ส่วนประกอบ
CVE-2021-35081
A-213239834
QC-CR#3028274
วิกฤต WLAN
CVE-2021-35112
A-201574693
QC-CR#3049280
วิกฤต แสดง
CVE-2021-35123
A-213239948
QC-CR#3032290
วิกฤต บลูทู ธ
CVE-2021-30334
A-213239835
QC-CR#2963049 [ 2 ]
QC-CR#3052789
สูง แสดง
CVE-2021-35091
A-204905109
QC-CR#3008877
สูง แสดง
CVE-2021-35095 A-204905206
QC-CR#2996895
สูง เคอร์เนล
CVE-2021-35130
A-213240026
QC-CR#3057133
สูง แสดง

คอมโพเนนต์โอเพนซอร์สของ Qualcomm

ช่องโหว่เหล่านี้ส่งผลกระทบต่อคอมโพเนนต์โอเพนซอร์สของ Qualcomm และมีการอธิบายในรายละเอียดเพิ่มเติมในกระดานข่าวความปลอดภัยของ Qualcomm ที่เหมาะสมหรือการแจ้งเตือนด้านความปลอดภัย การประเมินความรุนแรงของปัญหาเหล่านี้จัดทำโดย Qualcomm โดยตรง

ซีวี อ้างอิง ความรุนแรง ส่วนประกอบ
CVE-2021-30339
A-202025975 * วิกฤต คอมโพเนนต์โอเพ่นซอร์ส
CVE-2021-30341
A-202024969 * วิกฤต คอมโพเนนต์โอเพ่นซอร์ส
CVE-2021-30342
ก-202025860 * วิกฤต คอมโพเนนต์โอเพ่นซอร์ส
CVE-2021-30343
A-202025978 * วิกฤต คอมโพเนนต์โอเพ่นซอร์ส
CVE-2021-30347 ก-202025598 * วิกฤต คอมโพเนนต์โอเพ่นซอร์ส
CVE-2021-35104 A-213240044 * วิกฤต คอมโพเนนต์โอเพ่นซอร์ส
CVE-2021-30281 ก-202025858 * สูง คอมโพเนนต์โอเพ่นซอร์ส
CVE-2021-30338
A-202025859 * สูง คอมโพเนนต์โอเพ่นซอร์ส
CVE-2021-30340 ก-202025736 * สูง คอมโพเนนต์โอเพ่นซอร์ส
CVE-2021-30344 A-192612963 * สูง คอมโพเนนต์โอเพ่นซอร์ส
CVE-2021-30345 A-202025737 * สูง คอมโพเนนต์โอเพ่นซอร์ส
CVE-2021-30346 A-202025862 * สูง คอมโพเนนต์โอเพ่นซอร์ส
CVE-2021-30349 A-202025797 * สูง คอมโพเนนต์โอเพ่นซอร์ส
CVE-2021-30350
A-202025979 * สูง คอมโพเนนต์โอเพ่นซอร์ส
CVE-2021-35070
A-202025864 * สูง คอมโพเนนต์โอเพ่นซอร์ส
CVE-2021-35100 A-213240046 * สูง คอมโพเนนต์โอเพ่นซอร์ส

คำถามและคำตอบทั่วไป

ส่วนนี้จะตอบคำถามทั่วไปที่อาจเกิดขึ้นหลังจากอ่านกระดานข่าวนี้

1. ฉันจะทราบได้อย่างไรว่าอุปกรณ์ของฉันได้รับการอัปเดตเพื่อแก้ไขปัญหาเหล่านี้หรือไม่

หากต้องการเรียนรู้วิธีตรวจสอบระดับแพตช์ความปลอดภัยของอุปกรณ์ โปรดดู ตรวจสอบและอัปเดตเวอร์ชัน Android ของคุณ

  • ระดับแพตช์ความปลอดภัยของ 2022-04-01 หรือใหม่กว่าแก้ไขปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัย 2022-04-01
  • ระดับแพตช์ความปลอดภัยของ 2022-04-05 หรือใหม่กว่าแก้ไขปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัย 2022-04-05 และระดับแพตช์ก่อนหน้าทั้งหมด

ผู้ผลิตอุปกรณ์ที่มีการอัปเดตเหล่านี้ควรตั้งค่าระดับสตริงของแพตช์เป็น:

  • [ro.build.version.security_patch]:[2022-04-01]
  • [ro.build.version.security_patch]:[2022-04-05]

สำหรับอุปกรณ์บางรุ่นที่ใช้ Android 10 หรือใหม่กว่า การอัปเดตระบบ Google Play จะมีสตริงวันที่ตรงกับระดับแพตช์ความปลอดภัย 2022-04-01 โปรดดู บทความนี้ สำหรับรายละเอียดเพิ่มเติมเกี่ยวกับวิธีการติดตั้งโปรแกรมปรับปรุงความปลอดภัย

2. เหตุใดกระดานข่าวนี้จึงมีแพตช์ความปลอดภัยสองระดับ

กระดานข่าวนี้มีแพตช์ความปลอดภัยสองระดับเพื่อให้พันธมิตร Android มีความยืดหยุ่นในการแก้ไขช่องโหว่บางส่วนที่คล้ายกันในอุปกรณ์ Android ทุกเครื่องได้รวดเร็วยิ่งขึ้น พันธมิตร Android ได้รับการสนับสนุนให้แก้ไขปัญหาทั้งหมดในกระดานข่าวนี้ และใช้ระดับแพตช์ความปลอดภัยล่าสุด

  • อุปกรณ์ที่ใช้ระดับแพตช์ความปลอดภัย 2022-04-01 จะต้องมีปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัยนั้น เช่นเดียวกับการแก้ไขปัญหาทั้งหมดที่รายงานในกระดานข่าวความปลอดภัยก่อนหน้านี้
  • อุปกรณ์ที่ใช้แพตช์ความปลอดภัยระดับ 2022-04-05 หรือใหม่กว่าต้องมีแพตช์ที่เกี่ยวข้องทั้งหมดในกระดานข่าวความปลอดภัยนี้ (และก่อนหน้า)

พันธมิตรได้รับการสนับสนุนให้รวมการแก้ไขสำหรับปัญหาทั้งหมดที่พวกเขากำลังแก้ไขในการอัปเดตครั้งเดียว

3. รายการในคอลัมน์ Type หมายถึงอะไร

รายการในคอลัมน์ Type ของตารางรายละเอียดช่องโหว่อ้างอิงการจัดประเภทของช่องโหว่ด้านความปลอดภัย

ตัวย่อ คำนิยาม
อาร์ซีอี การเรียกใช้โค้ดจากระยะไกล
สพป การยกระดับสิทธิพิเศษ
รหัส การเปิดเผยข้อมูล
อย การปฏิเสธการให้บริการ
ไม่มีข้อมูล ไม่มีการจำแนกประเภท

4. รายการในคอลัมน์ References หมายถึงอะไร?

รายการภายใต้คอลัมน์ References ของตารางรายละเอียดช่องโหว่อาจมีคำนำหน้าที่ระบุถึงองค์กรที่เป็นเจ้าของค่าอ้างอิง

คำนำหน้า อ้างอิง
เอ- รหัสข้อบกพร่องของ Android
QC- หมายเลขอ้างอิงของวอลคอมม์
M- หมายเลขอ้างอิง MediaTek
N- หมายเลขอ้างอิงของ NVIDIA
B- หมายเลขอ้างอิงของ Broadcom
ยู- หมายเลขอ้างอิง UNISOC

5. เครื่องหมาย * ถัดจาก ID จุดบกพร่องของ Android ในคอลัมน์ References หมายถึงอะไร

ปัญหาที่ไม่เปิดเผยต่อสาธารณะจะมี * ถัดจาก ID อ้างอิงที่เกี่ยวข้อง การอัปเดตสำหรับปัญหานั้นโดยทั่วไปมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Pixel ที่มีให้จาก ไซต์ Google Developer

6. เหตุใดช่องโหว่ด้านความปลอดภัยจึงถูกแยกระหว่างกระดานข่าวนี้และกระดานข่าวความปลอดภัยของอุปกรณ์/คู่ค้า เช่น กระดานข่าว Pixel

ช่องโหว่ด้านความปลอดภัยที่บันทึกไว้ในกระดานข่าวความปลอดภัยนี้จำเป็นต้องประกาศระดับแพตช์ความปลอดภัยล่าสุดบนอุปกรณ์ Android ช่องโหว่ด้านความปลอดภัยเพิ่มเติมที่บันทึกไว้ในกระดานข่าวความปลอดภัยของอุปกรณ์/คู่ค้าไม่จำเป็นสำหรับการประกาศระดับแพตช์ความปลอดภัย ผู้ผลิตอุปกรณ์ Android และชิปเซ็ตอาจเผยแพร่รายละเอียดช่องโหว่ด้านความปลอดภัยเฉพาะสำหรับผลิตภัณฑ์ของตน เช่น Google , Huawei , LGE , Motorola , Nokia หรือ Samsung

รุ่น

รุ่น วันที่ หมายเหตุ
1.0 4 เมษายน 2565 ประกาศเผยแพร่แล้ว
1.1 5 เมษายน 2565 Bulletin แก้ไขเพื่อรวมลิงก์ AOSP
2.0 18 กรกฎาคม 2565 แก้ไขตาราง CVE