กระดานข่าวสารด้านความปลอดภัยของ Android มีรายละเอียดช่องโหว่ด้านความปลอดภัย ที่ส่งผลกระทบต่ออุปกรณ์ Android ระดับแพตช์ความปลอดภัยของ 2023-10-06 หรือใหม่กว่าจะแก้ไขปัญหาทั้งหมดนี้ ดูวิธีตรวจสอบระดับแพตช์ความปลอดภัยของอุปกรณ์ได้ที่ตรวจสอบและอัปเดตเวอร์ชัน Android
พาร์ทเนอร์ Android จะได้รับการแจ้งเตือนเกี่ยวกับปัญหาทั้งหมดอย่างน้อย 1 เดือนก่อน การเผยแพร่ เราได้เผยแพร่แพตช์ซอร์สโค้ดสำหรับปัญหาเหล่านี้ไปยังที่เก็บของโครงการโอเพนซอร์ส Android (AOSP) และลิงก์จากกระดานข่าวนี้ ประกาศนี้ ยังมีลิงก์ไปยังแพตช์ภายนอก AOSP ด้วย
การประเมินความรุนแรงจะอิงตามผลกระทบที่การ ใช้ประโยชน์จากช่องโหว่อาจมีต่ออุปกรณ์ที่ได้รับผลกระทบ โดยสมมติว่าแพลตฟอร์มและการลดความเสี่ยงของบริการปิดอยู่เพื่อวัตถุประสงค์ในการพัฒนา หรือหากมีการข้ามการลดความเสี่ยงได้สำเร็จ
ดูรายละเอียดเกี่ยวกับการป้องกัน แพลตฟอร์มความปลอดภัยของ Android และ Google Play Protect ซึ่งช่วยปรับปรุงความปลอดภัยของ แพลตฟอร์ม Android ได้ที่ส่วนการลดความเสี่ยงของ Android และ Google Play Protect
การลดความเสี่ยงของบริการ Android และ Google
นี่คือสรุปการลดความเสี่ยงที่แพลตฟอร์มความปลอดภัยของ Android และการป้องกันบริการ เช่น Google Play Protect มอบให้ ความสามารถเหล่านี้ช่วยลดโอกาสที่ช่องโหว่ด้านความปลอดภัยจะถูกเจาะใน Android ได้สำเร็จ
- การใช้ช่องโหว่สำหรับปัญหาหลายอย่างใน Android ทำได้ยากขึ้นเนื่องจาก การปรับปรุงในแพลตฟอร์ม Android เวอร์ชันใหม่ เราขอแนะนำให้ผู้ใช้ทุกรายอัปเดตเป็น Android เวอร์ชันล่าสุดหากเป็นไปได้
- ทีมความปลอดภัยของ Android คอยตรวจสอบการละเมิดผ่าน Google Play Protect และเตือนผู้ใช้เกี่ยวกับ แอปพลิเคชันที่ อาจเป็นอันตราย Google Play Protect จะเปิดใช้โดยค่าเริ่มต้นในอุปกรณ์ที่มีบริการของ Google Mobile และมีความสำคัญอย่างยิ่งสำหรับผู้ใช้ที่ติดตั้งแอปจากภายนอก Google Play
2023-10-01 รายละเอียดช่องโหว่ระดับแพตช์ด้านความปลอดภัย
ในส่วนด้านล่าง เราจะให้รายละเอียดเกี่ยวกับช่องโหว่ด้านความปลอดภัยแต่ละรายการที่ใช้กับแพตช์ระดับ 2023-10-01 ระบบจะแบ่งประเภทช่องโหว่ตามคอมโพเนนต์ที่ได้รับผลกระทบ ปัญหาจะอธิบายไว้ในตารางด้านล่าง ซึ่งรวมถึงรหัส CVE, ข้อมูลอ้างอิงที่เกี่ยวข้อง, ประเภทของช่องโหว่, ความรุนแรง และเวอร์ชัน AOSP ที่อัปเดตแล้ว (หากมี) เมื่อมีการเปลี่ยนแปลงแบบสาธารณะที่แก้ไขปัญหาแล้ว เราจะลิงก์การเปลี่ยนแปลงดังกล่าวกับรหัสข้อบกพร่อง เช่น รายการการเปลี่ยนแปลงของ AOSP เมื่อการเปลี่ยนแปลงหลายรายการเกี่ยวข้องกับข้อบกพร่องเดียว ระบบจะลิงก์ข้อมูลอ้างอิงเพิ่มเติมกับหมายเลขที่ต่อท้ายรหัสข้อบกพร่อง อุปกรณ์ที่ใช้ Android 10 ขึ้นไปอาจได้รับการอัปเดตความปลอดภัยและการอัปเดตระบบ Google Play
Framework
ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้เกิดการเพิ่มสิทธิ์ในเครื่องโดยไม่ต้องมีสิทธิ์การดำเนินการเพิ่มเติม
| CVE | ข้อมูลอ้างอิง | ประเภท | ความรุนแรง | เวอร์ชัน AOSP ที่อัปเดตแล้ว |
|---|---|---|---|---|
| CVE-2023-40116 | A-270368476 [2] | EoP | สูง | 11, 12, 12L |
| CVE-2023-40120 | A-274775190 | EoP | สูง | 11, 12, 12L, 13 |
| CVE-2023-40131 | A-282919145 | EoP | สูง | 12, 12L, 13 |
| CVE-2023-40140 | A-274058082 | EoP | สูง | 11, 12, 12L, 13 |
| CVE-2023-21291 | A-277593270 | รหัส | สูง | 11, 12, 12L, 13 |
| CVE-2023-40121 | A-224771621 | รหัส | สูง | 11, 12, 12L, 13 |
ระบบ
ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจนำไปสู่การดำเนินการโค้ดจากระยะไกล (ใกล้เคียง/ติดกัน) โดยไม่ต้องมีสิทธิ์การดำเนินการเพิ่มเติม
| CVE | ข้อมูลอ้างอิง | ประเภท | ความรุนแรง | เวอร์ชัน AOSP ที่อัปเดตแล้ว |
|---|---|---|---|---|
| CVE-2023-40129 | A-273874525 | RCE | วิกฤต | 12, 12L, 13 |
| CVE-2023-21244 | A-276729064 [2] [3] | EoP | สูง | 11, 12, 12L, 13 |
| CVE-2023-40117 | A-253043065 [2] | EoP | สูง | 11, 12, 12L, 13 |
| CVE-2023-40125 | A-279902472 | EoP | สูง | 11, 12, 12L, 13 |
| CVE-2023-40128 | A-274231102 | EoP | สูง | 11, 12, 12L, 13 |
| CVE-2023-40123 | A-278246904 | รหัส | สูง | 11, 12, 12L, 13 |
| CVE-2023-40127 | A-262244882 | รหัส | สูง | 11, 12, 12L, 13 |
| CVE-2023-21252 | A-275339978 [2] | DoS | สูง | 11, 12, 12L, 13 |
| CVE-2023-21253 | A-266580022 [2] [3] | DoS | สูง | 11, 12, 12L, 13 |
การอัปเดตระบบ Google Play
ปัญหาต่อไปนี้รวมอยู่ในคอมโพเนนต์ของโปรเจ็กต์ Mainline
| คอมโพเนนต์ย่อย | CVE |
|---|---|
| MediaProvider | CVE-2023-40127 |
| Wi-Fi | CVE-2023-21252 |
2023-10-05 รายละเอียดช่องโหว่ระดับแพตช์ความปลอดภัย
ในส่วนด้านล่าง เราจะให้รายละเอียดเกี่ยวกับช่องโหว่ด้านความปลอดภัยแต่ละรายการ ที่ใช้กับแพตช์ระดับ 2023-10-05 ระบบจะแบ่งประเภทช่องโหว่ตามคอมโพเนนต์ที่ได้รับผลกระทบ ปัญหาจะอธิบายไว้ในตารางด้านล่าง ซึ่งรวมถึงรหัส CVE, ข้อมูลอ้างอิงที่เกี่ยวข้อง, ประเภทของช่องโหว่, ความรุนแรง และเวอร์ชัน AOSP ที่อัปเดตแล้ว (หากมี) เมื่อมีการเปลี่ยนแปลงแบบสาธารณะที่แก้ไขปัญหาแล้ว เราจะลิงก์การเปลี่ยนแปลงดังกล่าวกับรหัสข้อบกพร่อง เช่น รายการการเปลี่ยนแปลงของ AOSP เมื่อการเปลี่ยนแปลงหลายรายการเกี่ยวข้องกับข้อบกพร่องเดียว ระบบจะลิงก์ข้อมูลอ้างอิงเพิ่มเติมกับหมายเลขที่ต่อท้ายรหัสข้อบกพร่อง
ส่วนประกอบของแขน
ช่องโหว่เหล่านี้ส่งผลต่อคอมโพเนนต์ของ Arm และดูรายละเอียดเพิ่มเติมได้จาก Arm โดยตรง การประเมินความรุนแรงของปัญหาเหล่านี้มาจาก Arm โดยตรง
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | คอมโพเนนต์ย่อย |
|---|---|---|---|
| CVE-2021-44828 | A-296461583 * | สูง | มาลี |
| CVE-2022-28348 | A-296463357 * | สูง | มาลี |
| CVE-2023-4211 | A-294605494 * | สูง | มาลี |
| CVE-2023-33200 | A-287627703 * | สูง | มาลี |
| CVE-2023-34970 | A-287624919 * | สูง | มาลี |
คอมโพเนนต์ของ MediaTek
ช่องโหว่เหล่านี้ส่งผลต่อคอมโพเนนต์ของ MediaTek และดูรายละเอียดเพิ่มเติมได้จาก MediaTek โดยตรง การประเมินความรุนแรงของปัญหาเหล่านี้มาจาก MediaTek โดยตรง
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | คอมโพเนนต์ย่อย |
|---|---|---|---|
| CVE-2023-20819 | A-294779648
M-MOLY01068234 * |
สูง | โปรโตคอล PPP ของ CDMA |
| CVE-2023-32819 | A-294779649
M-ALPS07993705 * |
สูง | แสดง |
| CVE-2023-32820 | A-294781433
M-ALPS07932637 * |
สูง | เฟิร์มแวร์ WLAN |
คอมโพเนนต์ Unisoc
ช่องโหว่นี้ส่งผลต่อคอมโพเนนต์ Unisoc และดูรายละเอียดเพิ่มเติมได้จาก Unisoc โดยตรง การประเมินความรุนแรงของปัญหานี้มาจาก Unisoc โดยตรง
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | คอมโพเนนต์ย่อย |
|---|---|---|---|
| CVE-2023-40638 | A-296491611
U-2212107* |
สูง | Android |
คอมโพเนนต์ของ Qualcomm
ช่องโหว่เหล่านี้ส่งผลกระทบต่อคอมโพเนนต์ของ Qualcomm และมีการอธิบายรายละเอียดเพิ่มเติมในกระดานข่าวสารด้านความปลอดภัยหรือการแจ้งเตือนด้านความปลอดภัยที่เหมาะสมของ Qualcomm การประเมินความรุนแรงของปัญหาเหล่านี้มาจาก Qualcomm โดยตรง
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | คอมโพเนนต์ย่อย |
|---|---|---|---|
| CVE-2023-33029 | A-290061916
QC-CR#3446314 |
สูง | ฟองสบู่แตก |
| CVE-2023-33034 | A-290060972
QC-CR#3438425 |
สูง | เสียง |
| CVE-2023-33035 | A-290061247
QC-CR#3438021 |
สูง | เสียง |
คอมโพเนนต์ที่ไม่เปิดเผยรหัสต้นฉบับของ Qualcomm
ช่องโหว่เหล่านี้ส่งผลกระทบต่อคอมโพเนนต์แบบปิดของ Qualcomm และมีการอธิบายรายละเอียดเพิ่มเติมในกระดานข่าวสารด้านความปลอดภัยของ Qualcomm หรือการแจ้งเตือนด้านความปลอดภัยที่เกี่ยวข้อง การประเมินความรุนแรงของปัญหาเหล่านี้มาจาก Qualcomm โดยตรง
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | คอมโพเนนต์ย่อย |
|---|---|---|---|
| CVE-2023-24855 | A-276750662 * | วิกฤต | คอมโพเนนต์แบบปิด |
| CVE-2023-28540 | A-276751073 * | วิกฤต | คอมโพเนนต์แบบปิด |
| CVE-2023-33028 | A-290060590 * | วิกฤต | คอมโพเนนต์แบบปิด |
| CVE-2023-21673 | A-276750698 * | สูง | คอมโพเนนต์แบบปิด |
| CVE-2023-22385 | A-276750699 * | สูง | คอมโพเนนต์แบบปิด |
| CVE-2023-24843 | A-276750762 * | สูง | คอมโพเนนต์แบบปิด |
| CVE-2023-24844 | A-276750872 * | สูง | คอมโพเนนต์แบบปิด |
| CVE-2023-24847 | A-276751090 * | สูง | คอมโพเนนต์แบบปิด |
| CVE-2023-24848 | A-276750995* | สูง | คอมโพเนนต์แบบปิด |
| CVE-2023-24849 | A-276751370* | สูง | คอมโพเนนต์แบบปิด |
| CVE-2023-24850 | A-276751108 * | สูง | คอมโพเนนต์แบบปิด |
| CVE-2023-24853 | A-276751372 * | สูง | คอมโพเนนต์แบบปิด |
| CVE-2023-33026 | A-290061996 * | สูง | คอมโพเนนต์แบบปิด |
| CVE-2023-33027 | A-290061249 * | สูง | คอมโพเนนต์แบบปิด |
2023-10-06 รายละเอียดช่องโหว่ระดับแพตช์ด้านความปลอดภัย
ในส่วนด้านล่าง เราจะให้รายละเอียดเกี่ยวกับช่องโหว่ด้านความปลอดภัยแต่ละรายการที่ใช้กับแพตช์ระดับ 2023-10-06 ระบบจะแบ่งประเภทช่องโหว่ตามคอมโพเนนต์ที่ได้รับผลกระทบ ปัญหาจะอธิบายไว้ในตารางด้านล่าง ซึ่งรวมถึงรหัส CVE, ข้อมูลอ้างอิงที่เกี่ยวข้อง, ประเภทของช่องโหว่, ความรุนแรง และเวอร์ชัน AOSP ที่อัปเดตแล้ว (หากมี) เมื่อมีการเปลี่ยนแปลงแบบสาธารณะที่แก้ไขปัญหาแล้ว เราจะลิงก์การเปลี่ยนแปลงดังกล่าวกับรหัสข้อบกพร่อง เช่น รายการการเปลี่ยนแปลงของ AOSP เมื่อการเปลี่ยนแปลงหลายรายการเกี่ยวข้องกับข้อบกพร่องเดียว ระบบจะลิงก์ข้อมูลอ้างอิงเพิ่มเติมกับหมายเลขที่ต่อท้ายรหัสข้อบกพร่อง
ระบบ
ช่องโหว่ในส่วนนี้อาจนำไปสู่การแสวงหาประโยชน์โดยไม่ต้องมีการโต้ตอบจากผู้ใช้
| CVE | ข้อมูลอ้างอิง | ประเภท | ความรุนแรง | เวอร์ชัน AOSP ที่อัปเดตแล้ว |
|---|---|---|---|---|
| CVE-2023-4863 | A-299477569 | RCE | วิกฤต | 11, 12, 12L, 13, 14 |
คำถามที่พบบ่อยและคำตอบ
ส่วนนี้จะตอบคำถามที่พบบ่อยซึ่งผู้ใช้อาจสงสัยหลังจากที่อ่านกระดานข่าวสารนี้
1. ฉันจะทราบได้อย่างไรว่าอุปกรณ์ได้รับการอัปเดตเพื่อแก้ไขปัญหาเหล่านี้แล้ว
ดูวิธีตรวจสอบระดับแพตช์ความปลอดภัยของอุปกรณ์ได้ที่ตรวจสอบและอัปเดตเวอร์ชัน Android
- ระดับแพตช์ด้านความปลอดภัยของวันที่ 01-10-2023 หรือหลังจากนั้นจะแก้ไขปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ด้านความปลอดภัยของวันที่ 01-10-2023
- ระดับแพตช์ด้านความปลอดภัยของวันที่ 05-10-2023 หรือหลังจากนั้นจะแก้ไข ปัญหาทั้งหมดที่เกี่ยวข้องกับแพตช์ด้านความปลอดภัยระดับ 05-10-2023 และระดับแพตช์ก่อนหน้าทั้งหมด
- ระดับแพตช์ด้านความปลอดภัยของวันที่ 06-10-2023 หรือหลังจากนั้นจะแก้ไข ปัญหาทั้งหมดที่เกี่ยวข้องกับแพตช์ด้านความปลอดภัยระดับ 06-10-2023 และระดับแพตช์ก่อนหน้าทั้งหมด
ผู้ผลิตอุปกรณ์ที่รวมการอัปเดตเหล่านี้ควรกำหนดระดับสตริงแพตช์ เป็น
- [ro.build.version.security_patch]:[2023-10-01]
- [ro.build.version.security_patch]:[2023-10-05]
- [ro.build.version.security_patch]:[2023-10-06]
สำหรับอุปกรณ์บางรุ่นใน Android 10 ขึ้นไป การอัปเดตระบบ Google Play จะมีสตริงวันที่ที่ตรงกับระดับแพตช์ความปลอดภัย 2023-10-01 โปรดดูรายละเอียดเพิ่มเติมเกี่ยวกับวิธี ติดตั้ง การอัปเดตความปลอดภัยได้ที่บทความนี้
2. ทำไมกระดานข่าวนี้จึงมีแพตช์ความปลอดภัย 3 ระดับ
กระดานข่าวนี้มีแพตช์ด้านความปลอดภัย 3 ระดับเพื่อให้พาร์ทเนอร์ของ Android มี ความยืดหยุ่นในการแก้ไขช่องโหว่บางส่วนที่คล้ายกันในอุปกรณ์ Android ทั้งหมด ได้อย่างรวดเร็วยิ่งขึ้น เราขอแนะนำให้พาร์ทเนอร์ Android แก้ไขปัญหาทั้งหมดในกระดานข่าวนี้และใช้แพตช์ด้านความปลอดภัยระดับล่าสุด
- อุปกรณ์ที่ใช้ระดับแพตช์ด้านความปลอดภัย 2023-10-01 ต้องรวมปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ด้านความปลอดภัยนั้น รวมถึง การแก้ไขปัญหาทั้งหมดที่รายงานในกระดานข่าวความปลอดภัยก่อนหน้านี้
- อุปกรณ์ที่ใช้ระดับแพตช์ด้านความปลอดภัย 2023-10-05 หรือใหม่กว่าต้องมีแพตช์ที่เกี่ยวข้องทั้งหมดในกระดานข่าวความปลอดภัยนี้ (และก่อนหน้า)
- อุปกรณ์ที่ใช้ระดับแพตช์ด้านความปลอดภัย 2023-10-06 หรือใหม่กว่าต้องมีแพตช์ที่เกี่ยวข้องทั้งหมดในกระดานข่าว ด้านความปลอดภัยนี้ (และก่อนหน้า)
เราขอแนะนำให้พาร์ทเนอร์รวมการแก้ไขปัญหาทั้งหมดที่พาร์ทเนอร์ กำลังดำเนินการไว้ในการอัปเดตครั้งเดียว
3. รายการในคอลัมน์ประเภทหมายถึงอะไร
รายการในคอลัมน์ประเภทของตารางรายละเอียดช่องโหว่ จะอ้างอิงการแยกประเภทช่องโหว่ด้านความปลอดภัย
| ตัวย่อ | คำจำกัดความ |
|---|---|
| RCE | การดำเนินการกับโค้ดจากระยะไกล |
| EoP | การยกระดับสิทธิ์ |
| รหัส | การเปิดเผยข้อมูล |
| DoS | ปฏิเสธการให้บริการ |
| ไม่มี | ไม่มีการแยกประเภท |
4. รายการในคอลัมน์การอ้างอิงหมายถึงอะไร
รายการในคอลัมน์การอ้างอิงของตารางรายละเอียดช่องโหว่อาจมีคำนำหน้าที่ระบุองค์กรที่ค่าการอ้างอิงเป็นขององค์กรนั้น
| คำนำหน้า | ข้อมูลอ้างอิง |
|---|---|
| A- | รหัสข้อบกพร่องของ Android |
| QC- | หมายเลขอ้างอิงของ Qualcomm |
| M- | หมายเลขอ้างอิงของ MediaTek |
| N- | หมายเลขอ้างอิงของ NVIDIA |
| B- | หมายเลขอ้างอิงของ Broadcom |
| U- | หมายเลขอ้างอิงของ UNISOC |
5. เครื่องหมาย * ข้างรหัสข้อบกพร่องของ Android ในคอลัมน์การอ้างอิง หมายความว่าอย่างไร
ปัญหาที่ไม่ได้เผยแพร่ต่อสาธารณะจะมีเครื่องหมาย * อยู่ข้างรหัสอ้างอิงที่เกี่ยวข้อง โดยปกติแล้ว การอัปเดตสำหรับปัญหานั้นจะอยู่ใน ไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Pixel ซึ่งมีให้บริการในเว็บไซต์ Google สำหรับนักพัฒนาแอป
6. เหตุใดช่องโหว่ด้านความปลอดภัยจึงแยกออกเป็นกระดานข่าวสารนี้และ กระดานข่าวสารด้านความปลอดภัยของอุปกรณ์ / พาร์ทเนอร์ เช่น กระดานข่าวสารของ Pixel
ช่องโหว่ด้านความปลอดภัยที่บันทึกไว้ในประกาศข่าวสารด้านความปลอดภัยนี้ ต้องประกาศระดับแพตช์ความปลอดภัยล่าสุดในอุปกรณ์ Android ไม่จำเป็นต้องมีช่องโหว่ด้านความปลอดภัยเพิ่มเติมที่บันทึกไว้ใน กระดานข่าวความปลอดภัยของอุปกรณ์ / พาร์ทเนอร์ เพื่อประกาศระดับแพตช์ด้านความปลอดภัย ผู้ผลิตอุปกรณ์และชิปเซ็ต Android อาจเผยแพร่รายละเอียดช่องโหว่ด้านความปลอดภัยที่เฉพาะเจาะจงสำหรับผลิตภัณฑ์ของตนด้วย เช่น Google Huawei LGE Motorola Nokia หรือ Samsung
เวอร์ชัน
| เวอร์ชัน | วันที่ | หมายเหตุ |
|---|---|---|
| 1.0 | 2 ตุลาคม 2023 | เผยแพร่ Bulletin แล้ว |