กระดานข่าวสารด้านความปลอดภัยของ Android - ตุลาคม 2023

เผยแพร่เมื่อวันที่ 2 ตุลาคม 2023 | อัปเดตเมื่อวันที่ 26 กรกฎาคม 2024

กระดานข่าวสารด้านความปลอดภัยของ Android มีรายละเอียดเกี่ยวกับช่องโหว่ด้านความปลอดภัย ส่งผลต่ออุปกรณ์ Android ระดับแพตช์ความปลอดภัยของ 06-10-2023 หรือหลังจากนั้น จะแก้ไขปัญหาเหล่านี้ได้ทั้งหมด หากต้องการดูวิธีตรวจสอบระดับแพตช์ความปลอดภัยของอุปกรณ์ โปรดดู ตรวจสอบและอัปเดตเวอร์ชัน Android ของคุณ

พาร์ทเนอร์ Android จะได้รับการแจ้งเตือนปัญหาทั้งหมดล่วงหน้าอย่างน้อย 1 เดือน สื่อเผยแพร่ เราได้เผยแพร่แพตช์ซอร์สโค้ดสำหรับปัญหาเหล่านี้ใน Android Open แล้ว ที่เก็บของโปรเจ็กต์ต้นทาง (AOSP) และลิงก์จากกระดานข่าวสารนี้ กระดานข่าวสารนี้ จะมีลิงก์ไปยังแพตช์นอก AOSP ด้วย

การประเมินความรุนแรงจะอิงตามผลกระทบ การแสวงหาประโยชน์จากช่องโหว่ที่อาจเกิดขึ้นได้ ในอุปกรณ์ที่ได้รับผลกระทบ สมมติว่ามีการปิดใช้แพลตฟอร์มและบริการสำหรับการพัฒนา หรือข้ามสำเร็จ

โปรดดูAndroid และ Google Play Protect การผ่อนปรนชั่วคราวสำหรับรายละเอียดเกี่ยวกับ แพลตฟอร์มความปลอดภัยของ Android และ Google Play Protect ซึ่งช่วยปรับปรุงการรักษาความปลอดภัย แพลตฟอร์ม Android

บริการของ Android และ Google การลดความเสี่ยง

นี่คือสรุปการลดความเสี่ยงจาก แพลตฟอร์มความปลอดภัยของ Android และการป้องกันบริการ เช่น Google Play ป้องกัน ความสามารถเหล่านี้ช่วยลดแนวโน้มที่การรักษาความปลอดภัย อาจถูกใช้ประโยชน์ได้สำเร็จใน Android

  • การแสวงหาประโยชน์จากปัญหามากมายบน Android นั้นทำได้ยากขึ้นโดย การเพิ่มประสิทธิภาพบนแพลตฟอร์ม Android เวอร์ชันใหม่กว่า เราขอแนะนำให้ทุกคน ผู้ใช้ อัปเดตเป็น Android เวอร์ชันล่าสุดหากเป็นไปได้
  • ทีมรักษาความปลอดภัยของ Android ตรวจสอบการละเมิดอย่างสม่ำเสมอผ่าน Google Play ปกป้องและเตือนผู้ใช้เกี่ยวกับ มีโอกาส แอปพลิเคชันที่เป็นอันตราย Google Play Protect จะเปิดใช้โดยค่าเริ่มต้นใน อุปกรณ์ กับ Google โทรศัพท์เคลื่อนที่ บริการและมีความสำคัญอย่างยิ่งสำหรับผู้ใช้ที่ติดตั้งแอปจาก นอก Google Play

01-10-2023 รายละเอียดช่องโหว่ระดับแพตช์ความปลอดภัย

ในส่วนด้านล่าง เราจะให้รายละเอียดเกี่ยวกับความปลอดภัยแต่ละรายการ ช่องโหว่ที่เกี่ยวข้องกับระดับแพตช์ 2023-10-01 ระบบจะจัดกลุ่มช่องโหว่ไว้ภายใต้คอมโพเนนต์ที่ได้รับผลกระทบ เราได้อธิบายปัญหาไว้ในตารางด้านล่าง และรวมรหัส CVE ที่เกี่ยวข้อง ประเภทของช่องโหว่ ความรุนแรง และเวอร์ชัน AOSP ที่อัปเดต (หากมี) เราจะลิงก์การเปลี่ยนแปลงแบบสาธารณะที่แก้ปัญหาไปยัง รหัสข้อบกพร่อง เช่น รายการเปลี่ยนแปลง AOSP เมื่อการเปลี่ยนแปลงหลายรายการเกี่ยวข้องกับข้อบกพร่องเดียว การอ้างอิงเพิ่มเติม ซึ่งลิงก์กับหมายเลขที่ตามหลังรหัสข้อบกพร่อง อุปกรณ์ที่ใช้ Android 10 ขึ้นไปอาจได้รับการอัปเดตความปลอดภัย รวมถึง Google การอัปเดตระบบ Play

เฟรมเวิร์ก

ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจนำไปสู่ การส่งต่อของ โดยไม่จำเป็นต้องใช้สิทธิ์ดำเนินการเพิ่มเติม

CVE ข้อมูลอ้างอิง ประเภท ความรุนแรง เวอร์ชัน AOSP ที่อัปเดต
CVE-2023-40116 A-270368476 [2] EP สูง 11, 12, 12 ลิตร
CVE-2023-40120 A-274775190 EP สูง 11, 12, 12 ลิตร, 13 ลิตร
CVE-2023-40131 A-282919145 EP สูง 12, 12 ลิตร, 13 ลิตร
CVE-2023-40140 A-274058082 EP สูง 11, 12, 12 ลิตร, 13 ลิตร
CVE-2023-21291 A-277593270 รหัส สูง 11, 12, 12 ลิตร, 13 ลิตร
CVE-2023-40121 A-224771621 รหัส สูง 11, 12, 12 ลิตร, 13 ลิตร
CVE-2023-40134 A-283101289 รหัส สูง 12, 12 ลิตร, 13 ลิตร
CVE-2023-40136 A-281666022 รหัส สูง 11, 12, 12 ลิตร, 13 ลิตร
CVE-2023-40137 A-281665050 รหัส สูง 11, 12, 12 ลิตร, 13 ลิตร
CVE-2023-40138 A-281534749 รหัส สูง 11, 12, 12 ลิตร, 13 ลิตร
CVE-2023-40139 A-281533566 รหัส สูง 11, 12, 12 ลิตร, 13 ลิตร

ระบบ

ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจนำไปสู่ การดำเนินการโค้ด (ใกล้เคียง/ใกล้เคียง) โดยไม่มีสิทธิ์ดำเนินการเพิ่มเติม ที่จำเป็น

CVE ข้อมูลอ้างอิง ประเภท ความรุนแรง เวอร์ชัน AOSP ที่อัปเดต
CVE-2023-40129 A-273874525 ใหม่ วิกฤต 12, 12 ลิตร, 13 ลิตร
CVE-2023-21244 A-276729064 [2] [3] EP สูง 11, 12, 12 ลิตร, 13 ลิตร
CVE-2023-40117 A-253043065 [2] EP สูง 11, 12, 12 ลิตร, 13 ลิตร
CVE-2023-40125 A-279902472 EP สูง 11, 12, 12 ลิตร, 13 ลิตร
CVE-2023-40128 A-274231102 EP สูง 11, 12, 12 ลิตร, 13 ลิตร
CVE-2023-40130 A-289809991 EP สูง 11, 12, 12 ลิตร, 13 ลิตร
CVE-2023-40123 A-278246904 รหัส สูง 11, 12, 12 ลิตร, 13 ลิตร
CVE-2023-40127 A-262244882 รหัส สูง 11, 12, 12 ลิตร, 13 ลิตร
CVE-2023-40133 A-283264674 รหัส สูง 11, 12, 12 ลิตร, 13 ลิตร
CVE-2023-40135 A-281848557 รหัส สูง 11, 12, 12 ลิตร, 13 ลิตร
CVE-2023-21252 A-275339978 [2] สิ่งที่ควรทำ สูง 11, 12, 12 ลิตร, 13 ลิตร
CVE-2023-21253 A-266580022 [2] [3] สิ่งที่ควรทำ สูง 11, 12, 12 ลิตร, 13 ลิตร

การอัปเดตระบบ Google Play

ปัญหาต่อไปนี้รวมอยู่ในคอมโพเนนต์ Project Mainline

องค์ประกอบย่อย CVE
ผู้ให้บริการสื่อ CVE-2023-40127
Wi-Fi CVE-2023-21252

05-10-2023 รายละเอียดช่องโหว่ระดับแพตช์ความปลอดภัย

ในส่วนด้านล่าง เราจะให้รายละเอียดเกี่ยวกับความปลอดภัยแต่ละรายการ ช่องโหว่ที่เกี่ยวข้องกับระดับแพตช์ 2023-10-05 ระบบจะจัดกลุ่มช่องโหว่ไว้ภายใต้คอมโพเนนต์ที่ได้รับผลกระทบ เราได้อธิบายปัญหาไว้ในตารางด้านล่าง และรวมรหัส CVE ที่เกี่ยวข้อง ประเภทของช่องโหว่ ความรุนแรง และเวอร์ชัน AOSP ที่อัปเดต (หากมี) เราจะลิงก์การเปลี่ยนแปลงแบบสาธารณะที่แก้ปัญหาไปยัง รหัสข้อบกพร่อง เช่น รายการเปลี่ยนแปลง AOSP เมื่อการเปลี่ยนแปลงหลายรายการเกี่ยวข้องกับข้อบกพร่องเดียว การอ้างอิงเพิ่มเติม ซึ่งลิงก์กับหมายเลขที่ตามหลังรหัสข้อบกพร่อง

ส่วนประกอบของแขน

ช่องโหว่เหล่านี้มีผลต่อคอมโพเนนต์ Arm และมีรายละเอียดเพิ่มเติม จาก Arm ได้โดยตรง มีการประเมินความรุนแรงของปัญหาเหล่านี้ โดย Arm โดยตรง

CVE ข้อมูลอ้างอิง ความรุนแรง องค์ประกอบย่อย
CVE-2021-44828 A-296461583 * สูง มาลี
CVE-2022-28348 A-296463357 * สูง มาลี
CVE-2023-4211 A-294605494 * สูง มาลี
CVE-2023-33200 A-287627703 * สูง มาลี
CVE-2023-34970 A-287624919 * สูง มาลี

คอมโพเนนต์ของ MediaTek

ช่องโหว่เหล่านี้ส่งผลกระทบต่อคอมโพเนนต์ MediaTek และรายละเอียดเพิ่มเติม ที่มีให้ได้โดยตรงจาก MediaTek MediaTek เป็นผู้ประเมินความรุนแรงของปัญหาเหล่านี้โดยตรง

CVE ข้อมูลอ้างอิง ความรุนแรง องค์ประกอบย่อย
CVE-2023-20819 A-294779648
M-MOLY01068234 *
สูง โปรโตคอล CDMA PPP
CVE-2023-32819 A-294779649
M-ALPS07993705 *
สูง แสดง
CVE-2023-32820 A-294781433
M-ALPS07932637 *
สูง เฟิร์มแวร์ wlan

คอมโพเนนต์ Unisoc

ช่องโหว่นี้ส่งผลต่อคอมโพเนนต์ Unisoc และรายละเอียดเพิ่มเติมมีดังนี้ พร้อมใช้งาน จาก Unisoc โดยตรง โดย Unisoc เป็นผู้ประเมินความรุนแรงของปัญหานี้โดยตรง

CVE ข้อมูลอ้างอิง ความรุนแรง องค์ประกอบย่อย
CVE-2023-40638 A-296491611
U-2212107*
สูง Android

คอมโพเนนต์ Qualcomm

ช่องโหว่เหล่านี้ส่งผลกระทบต่อคอมโพเนนต์ Qualcomm และได้มีการอธิบายเพิ่มเติมเกี่ยวกับ ในกระดานข่าวสารด้านความปลอดภัยหรือการแจ้งเตือนด้านความปลอดภัยของ Qualcomm ที่เหมาะสม Qualcomm เป็นผู้ประเมินความรุนแรงของปัญหาเหล่านี้โดยตรง

CVE ข้อมูลอ้างอิง ความรุนแรง องค์ประกอบย่อย
CVE-2023-33029 A-290061916
QC-CR#3446314
สูง เคอร์เนล
CVE-2023-33034 A-290060972
QC-CR#3438425
สูง เสียง
CVE-2023-33035 A-290061247
QC-CR#3438021
สูง เสียง

คอมโพเนนต์โอเพนซอร์สของ Qualcomm

ช่องโหว่เหล่านี้ส่งผลกระทบต่อคอมโพเนนต์แบบปิดของ Qualcomm และ ตามที่อธิบายไว้โดยละเอียดเพิ่มเติมในกระดานข่าวสารด้านความปลอดภัย Qualcomm ที่เหมาะสม หรือ การแจ้งเตือนความปลอดภัย Qualcomm เป็นผู้ประเมินความรุนแรงของปัญหาเหล่านี้โดยตรง

CVE ข้อมูลอ้างอิง ความรุนแรง องค์ประกอบย่อย
CVE-2023-24855 A-276750662 * วิกฤต คอมโพเนนต์แบบปิด
CVE-2023-28540 A-276751073 * วิกฤต คอมโพเนนต์แบบปิด
CVE-2023-33028 A-290060590 * วิกฤต คอมโพเนนต์แบบปิด
CVE-2023-21673 A-276750698 * สูง คอมโพเนนต์แบบปิด
CVE-2023-22385 A-276750699 * สูง คอมโพเนนต์แบบปิด
CVE-2023-24843 A-276750762 * สูง คอมโพเนนต์แบบปิด
CVE-2023-24844 A-276750872 * สูง คอมโพเนนต์แบบปิด
CVE-2023-24847 A-276751090 * สูง คอมโพเนนต์แบบปิด
CVE-2023-24848 A-276750995* สูง คอมโพเนนต์แบบปิด
CVE-2023-24849 A-276751370* สูง คอมโพเนนต์แบบปิด
CVE-2023-24850 A-276751108 * สูง คอมโพเนนต์แบบปิด
CVE-2023-24853 A-276751372 * สูง คอมโพเนนต์แบบปิด
CVE-2023-33026 A-290061996 * สูง คอมโพเนนต์แบบปิด
CVE-2023-33027 A-290061249 * สูง คอมโพเนนต์แบบปิด

06-10-2023 รายละเอียดช่องโหว่ระดับแพตช์ความปลอดภัย

ในส่วนด้านล่าง เราจะให้รายละเอียดเกี่ยวกับความปลอดภัยแต่ละรายการ ช่องโหว่ที่เกี่ยวข้องกับระดับแพตช์ 2023-10-06 ระบบจะจัดกลุ่มช่องโหว่ไว้ภายใต้คอมโพเนนต์ที่ได้รับผลกระทบ เราได้อธิบายปัญหาไว้ในตารางด้านล่าง และรวมรหัส CVE ที่เกี่ยวข้อง ประเภทของช่องโหว่ ความรุนแรง และเวอร์ชัน AOSP ที่อัปเดต (หากมี) เราจะลิงก์การเปลี่ยนแปลงแบบสาธารณะที่แก้ปัญหาไปยัง รหัสข้อบกพร่อง เช่น รายการเปลี่ยนแปลง AOSP เมื่อการเปลี่ยนแปลงหลายรายการเกี่ยวข้องกับข้อบกพร่องเดียว การอ้างอิงเพิ่มเติม ซึ่งลิงก์กับหมายเลขที่ตามหลังรหัสข้อบกพร่อง

ระบบ

ช่องโหว่ในส่วนนี้อาจนำไปสู่การแสวงหาประโยชน์โดยที่ผู้ใช้ไม่ต้องโต้ตอบ

CVE ข้อมูลอ้างอิง ประเภท ความรุนแรง เวอร์ชัน AOSP ที่อัปเดต
CVE-2023-4863 A-299477569 ใหม่ วิกฤต 11, 12, 12 ลิตร, 13 ลิตร

คำถามที่พบบ่อยและคำตอบ

ส่วนนี้จะตอบคำถามที่พบบ่อยซึ่งอาจเกิดขึ้นหลังจากอ่านข้อความนี้ กระดานข่าวสาร

1. ฉันจะรู้ได้อย่างไรว่าอุปกรณ์ได้รับการอัปเดตเพื่อจัดการปัญหาเหล่านี้ มีปัญหาไหม

หากต้องการดูวิธีตรวจสอบระดับแพตช์ความปลอดภัยของอุปกรณ์ โปรดดู ตรวจสอบและอัปเดตเวอร์ชัน Android ของคุณ

  • ระดับแพตช์ความปลอดภัยของที่อยู่ 01-10-2023 หรือหลังจากนั้น ปัญหาทั้งหมดที่เกี่ยวข้องกับแพตช์ความปลอดภัย 2023-10-01
  • ระดับแพตช์ความปลอดภัยของที่อยู่ 2023-10-05 หรือหลังจากนั้น ปัญหาทั้งหมดที่เกี่ยวข้องกับแพตช์ความปลอดภัย 2023-10-05 และระดับแพตช์ก่อนหน้าทั้งหมด
  • ระดับแพตช์ความปลอดภัยของที่อยู่ในวันที่ 06-10-2023 หรือหลังจากนั้น ปัญหาทั้งหมดที่เกี่ยวข้องกับแพตช์ความปลอดภัย 2023-10-06 และระดับแพตช์ก่อนหน้าทั้งหมด

ผู้ผลิตอุปกรณ์ที่มีการอัปเดตเหล่านี้ควรตั้งค่าสตริงแพตช์ ระดับเป็น:

  • [ro.build.version.security_patch]:[01-10-2023]
  • [ro.build.version.security_patch]:[05-10-2023]
  • [ro.build.version.security_patch]:[06-10-2023]

สำหรับอุปกรณ์บางรุ่นที่ใช้ Android 10 ขึ้นไป ระบบจะอัปเดตระบบ Google Play จะมีสตริงวันที่ที่ตรงกับ 2023-10-01 ระดับแพตช์ความปลอดภัย โปรดอ่านบทความนี้เพื่อดูรายละเอียดเพิ่มเติม จำนวนการติดตั้ง การอัปเดตความปลอดภัย

2. เหตุใดกระดานข่าวสารนี้มีแพตช์ความปลอดภัย 3 ระดับ

กระดานข่าวสารนี้มีระดับแพตช์ความปลอดภัย 3 ระดับเพื่อให้พาร์ทเนอร์ของ Android มี ความยืดหยุ่นในการแก้ไขช่องโหว่ย่อยที่คล้ายคลึงกันใน อุปกรณ์ Android ได้รวดเร็วยิ่งขึ้น พาร์ทเนอร์ Android ขอแนะนำให้แก้ไขทั้งหมด ปัญหาในกระดานข่าวสารนี้และใช้ระดับแพตช์ความปลอดภัยล่าสุด

  • อุปกรณ์ที่ใช้ระดับแพตช์ความปลอดภัย 2023-10-01 ต้องมีปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัยนั้นด้วย ในฐานะ แก้ไขปัญหาทั้งหมดที่รายงานในกระดานข่าวสารด้านความปลอดภัยก่อนหน้านี้
  • อุปกรณ์ที่ใช้ระดับแพตช์ความปลอดภัย 2023-10-05 ขึ้นไปต้องมีแพตช์ที่เกี่ยวข้องทั้งหมดในการรักษาความปลอดภัยนี้ (และก่อนหน้านี้) กระดานข่าวสาร
  • อุปกรณ์ที่ใช้ระดับแพตช์ความปลอดภัย 2023-10-06 ขึ้นไปต้องมีแพตช์ที่เกี่ยวข้องทั้งหมดในการรักษาความปลอดภัยนี้ (และก่อนหน้านี้) กระดานข่าวสาร

พาร์ทเนอร์ควรรวมการแก้ไขปัญหาทั้งหมดไว้ด้วยกัน ด้วยการอัปเดตเพียงครั้งเดียว

3. รายการในคอลัมน์ประเภทหมายความว่าอย่างไร

รายการในคอลัมน์ประเภทของตารางรายละเอียดช่องโหว่ ให้อ้างอิงการจัดประเภทช่องโหว่ด้านความปลอดภัย

ตัวย่อ คำจำกัดความ
ใหม่ การดำเนินการกับโค้ดจากระยะไกล
EP การยกระดับสิทธิ์
รหัส การเปิดเผยข้อมูล
สิ่งที่ควรทำ ปฏิเสธการให้บริการ
ไม่มี ไม่มีการแยกประเภท

4. รายการในคอลัมน์ข้อมูลอ้างอิงคืออะไร

รายการในคอลัมน์ข้อมูลอ้างอิงของรายละเอียดช่องโหว่ ตารางอาจมีคำนำหน้าที่ระบุองค์กรซึ่ง ข้อมูลอ้างอิง มีค่าเป็นของ Google

คำนำหน้า ข้อมูลอ้างอิง
A- รหัสข้อบกพร่องของ Android
QC- หมายเลขอ้างอิง Qualcomm
จ- หมายเลขอ้างอิง MediaTek
น. หมายเลขอ้างอิง NVIDIA
B- หมายเลขอ้างอิง Broadcom
U- หมายเลขอ้างอิง UNISOC

5. เครื่องหมาย * ข้างรหัสข้อบกพร่องของ Android ในข้อมูลอ้างอิงคืออะไร จะหมายถึงอะไร

ปัญหาที่ไม่ได้เผยแพร่ต่อสาธารณะจะมีเครื่องหมาย * อยู่ถัดจากเนื้อหาที่เกี่ยวข้อง รหัสอ้างอิง การอัปเดตสำหรับปัญหาดังกล่าวมักเป็นของ ไดรเวอร์ไบนารีของอุปกรณ์ Pixel ที่พร้อมใช้งานจาก Google เว็บไซต์ของนักพัฒนาซอฟต์แวร์

6. เหตุใดช่องโหว่ด้านความปลอดภัยจึงแบ่งระหว่างกระดานข่าวสารนี้กับ กระดานข่าวสารด้านความปลอดภัยของอุปกรณ์ / พาร์ทเนอร์ เช่น กระดานข่าวสาร Pixel

ช่องโหว่ด้านความปลอดภัยที่ระบุในกระดานข่าวสารด้านความปลอดภัยนี้คือ ที่จำเป็นต่อการประกาศระดับแพตช์ความปลอดภัยล่าสุดใน Android อุปกรณ์ ช่องโหว่ด้านความปลอดภัยอื่นๆ ที่ระบุในเอกสาร ไม่จำเป็นต้องมีกระดานข่าวสารด้านความปลอดภัยของอุปกรณ์ / พาร์ทเนอร์สำหรับ ประกาศระดับแพตช์ความปลอดภัย ผู้ผลิตอุปกรณ์และชิปเซ็ต Android อาจเผยแพร่รายละเอียดช่องโหว่ ด้านความปลอดภัยของผลิตภัณฑ์ เช่น Google Huawei LGE Motorola Nokia หรือ Samsung

เวอร์ชัน

เวอร์ชัน วันที่ หมายเหตุ
1.0 2 ตุลาคม 2023 เผยแพร่กระดานข่าวสารแล้ว