กระดานข่าวสารด้านความปลอดภัยของ Android - กุมภาพันธ์ 2024

เผยแพร่เมื่อ 5 กุมภาพันธ์ 2024

กระดานข่าวสารด้านความปลอดภัยของ Android มีรายละเอียดช่องโหว่ด้านความปลอดภัย ที่ส่งผลกระทบต่ออุปกรณ์ Android ระดับแพตช์ด้านความปลอดภัยของ 2024-02-05 หรือใหม่กว่าจะแก้ไขปัญหาทั้งหมดเหล่านี้ ดูวิธีตรวจสอบระดับแพตช์ความปลอดภัยของอุปกรณ์ได้ที่ตรวจสอบและอัปเดตเวอร์ชัน Android

พาร์ทเนอร์ Android จะได้รับการแจ้งเตือนเกี่ยวกับปัญหาทั้งหมดอย่างน้อย 1 เดือนก่อน การเผยแพร่ เราได้เผยแพร่แพตช์ซอร์สโค้ดสำหรับปัญหาเหล่านี้ไปยังที่เก็บของโครงการโอเพนซอร์ส Android (AOSP) และลิงก์จากกระดานข่าวนี้ ประกาศนี้ ยังมีลิงก์ไปยังแพตช์ภายนอก AOSP ด้วย

ปัญหาที่ร้ายแรงที่สุดคือช่องโหว่ด้านความปลอดภัยที่ร้ายแรงใน คอมโพเนนต์ของระบบ ซึ่งอาจนำไปสู่การดำเนินการโค้ดจากระยะไกลโดยไม่ต้องมี สิทธิ์การดำเนินการเพิ่มเติม การประเมินความรุนแรงจะอิงตามผลกระทบที่การ ใช้ประโยชน์ จากช่องโหว่อาจมีต่ออุปกรณ์ที่ได้รับผลกระทบ โดยสมมติว่ามีการปิดการลดความเสี่ยงของแพลตฟอร์มและบริการเพื่อวัตถุประสงค์ในการพัฒนา หรือ หาก มีการข้ามการลดความเสี่ยงได้สำเร็จ

ดูรายละเอียดเกี่ยวกับการป้องกันแพลตฟอร์มความปลอดภัยของ Android และ Google Play Protect ซึ่งช่วยปรับปรุงความปลอดภัยของแพลตฟอร์ม Android ได้ที่ส่วนการลดความเสี่ยงของ Android และ Google Play Protect

การลดความเสี่ยงของบริการ Android และ Google

นี่คือสรุปการลดความเสี่ยงที่แพลตฟอร์มความปลอดภัยของ Android และการป้องกันบริการ เช่น Google Play Protect มอบให้ ความสามารถเหล่านี้ช่วยลดโอกาสที่ช่องโหว่ด้านความปลอดภัยจะถูกเจาะใน Android ได้สำเร็จ

  • การใช้ช่องโหว่สำหรับปัญหาหลายอย่างใน Android ทำได้ยากขึ้นเนื่องจาก การปรับปรุงในแพลตฟอร์ม Android เวอร์ชันใหม่ เราขอแนะนำให้ผู้ใช้ทุกรายอัปเดตเป็น Android เวอร์ชันล่าสุดหากเป็นไปได้
  • ทีมความปลอดภัยของ Android คอยตรวจสอบการละเมิดผ่าน Google Play Protect และเตือนผู้ใช้เกี่ยวกับ แอปพลิเคชันที่อาจ เป็นอันตราย Google Play Protect จะเปิดใช้โดยค่าเริ่มต้นในอุปกรณ์ที่มีบริการของ Google Mobile และมีความสำคัญอย่างยิ่งสำหรับผู้ใช้ที่ติดตั้งแอปจากภายนอก Google Play

2024-02-01 รายละเอียดช่องโหว่ระดับแพตช์ด้านความปลอดภัย

ในส่วนด้านล่างนี้ เราจะให้รายละเอียดเกี่ยวกับช่องโหว่ด้านความปลอดภัยแต่ละรายการที่ใช้กับแพตช์ระดับ 2024-02-01 ระบบจะแบ่งประเภทช่องโหว่ตามคอมโพเนนต์ที่ได้รับผลกระทบ ปัญหาจะอธิบายไว้ในตารางด้านล่าง ซึ่งรวมถึงรหัส CVE, ข้อมูลอ้างอิงที่เกี่ยวข้อง, ประเภทของช่องโหว่, ความรุนแรง และเวอร์ชัน AOSP ที่อัปเดตแล้ว (หากมี) เมื่อมีการเปลี่ยนแปลงแบบสาธารณะที่แก้ไขปัญหาแล้ว เราจะลิงก์การเปลี่ยนแปลงดังกล่าวกับรหัสข้อบกพร่อง เช่น รายการการเปลี่ยนแปลงของ AOSP เมื่อการเปลี่ยนแปลงหลายรายการเกี่ยวข้องกับข้อบกพร่องเดียว ระบบจะลิงก์ข้อมูลอ้างอิงเพิ่มเติมกับหมายเลขที่ต่อท้ายรหัสข้อบกพร่อง อุปกรณ์ที่ใช้ Android 10 ขึ้นไปอาจได้รับการอัปเดตความปลอดภัยและการอัปเดตระบบ Google Play

Framework

ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้เกิดการเพิ่มสิทธิ์ในเครื่องโดยไม่ต้องมีสิทธิ์การดำเนินการเพิ่มเติม

CVE ข้อมูลอ้างอิง ประเภท ความรุนแรง เวอร์ชัน AOSP ที่อัปเดตแล้ว
CVE-2024-0029 A-305664128 EoP สูง 13
CVE-2024-0034 A-298094386 EoP สูง 11, 12, 12L, 13
CVE-2024-0036 A-230492947 EoP สูง 11, 12, 12L, 13, 14
CVE-2024-0038 A-309426390 EoP สูง 14
CVE-2024-0041 A-300741186 EoP สูง 14
CVE-2024-0040 A-300007708 รหัส สูง 11, 12, 12L, 13, 14

ระบบ

ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจนำไปสู่การดำเนินการโค้ดจากระยะไกล โดยไม่ต้องมีสิทธิ์การดำเนินการเพิ่มเติม

CVE ข้อมูลอ้างอิง ประเภท ความรุนแรง เวอร์ชัน AOSP ที่อัปเดตแล้ว
CVE-2024-0031 A-297524203 RCE วิกฤต 11, 12, 12L, 13, 14
CVE-2024-0014 A-304082474 EoP สูง 11, 12, 12L, 13, 14
CVE-2024-0033 A-294609150 [2] EoP สูง 11, 12, 12L, 13, 14
CVE-2024-0035 A-300903792 EoP สูง 11, 12, 12L, 13, 14
CVE-2023-40093 A-279055389 [2] รหัส สูง 11, 12, 12L, 13, 14
CVE-2024-0030 A-276898739 รหัส สูง 11, 12, 12L, 13, 14

การอัปเดตระบบ Google Play

การอัปเดตระบบ Google Play (Project Mainline) ในเดือนนี้ไม่มีการแก้ไขปัญหาด้านความปลอดภัย

2024-02-05 รายละเอียดช่องโหว่ระดับแพตช์ด้านความปลอดภัย

ในส่วนด้านล่าง เราจะให้รายละเอียดเกี่ยวกับช่องโหว่ด้านความปลอดภัยแต่ละรายการที่ใช้กับแพตช์ระดับ 2024-02-05 ระบบจะแบ่งประเภทช่องโหว่ตามคอมโพเนนต์ที่ได้รับผลกระทบ ปัญหาจะอธิบายไว้ในตารางด้านล่าง ซึ่งรวมถึงรหัส CVE, ข้อมูลอ้างอิงที่เกี่ยวข้อง, ประเภทของช่องโหว่, ความรุนแรง และเวอร์ชัน AOSP ที่อัปเดตแล้ว (หากมี) เมื่อมีการเปลี่ยนแปลงแบบสาธารณะที่แก้ไขปัญหาแล้ว เราจะลิงก์การเปลี่ยนแปลงดังกล่าวกับรหัสข้อบกพร่อง เช่น รายการการเปลี่ยนแปลงของ AOSP เมื่อการเปลี่ยนแปลงหลายรายการเกี่ยวข้องกับข้อบกพร่องเดียว ระบบจะลิงก์ข้อมูลอ้างอิงเพิ่มเติมกับหมายเลขที่ต่อท้ายรหัสข้อบกพร่อง

ส่วนประกอบของแขน

ช่องโหว่เหล่านี้ส่งผลต่อคอมโพเนนต์ของ Arm และดูรายละเอียดเพิ่มเติมได้จาก Arm โดยตรง การประเมินความรุนแรงของปัญหาเหล่านี้มาจาก Arm โดยตรง

CVE ข้อมูลอ้างอิง ความรุนแรง คอมโพเนนต์ย่อย
CVE-2023-5091
A-298150556 * สูง มาลี
CVE-2023-5249
A-301630648 * สูง มาลี
CVE-2023-5643
A-308188986 * สูง มาลี

คอมโพเนนต์ของ MediaTek

ช่องโหว่เหล่านี้ส่งผลต่อคอมโพเนนต์ของ MediaTek และดูรายละเอียดเพิ่มเติมได้จาก MediaTek โดยตรง การประเมินความรุนแรงของปัญหาเหล่านี้มาจาก MediaTek โดยตรง

CVE ข้อมูลอ้างอิง ความรุนแรง คอมโพเนนต์ย่อย
CVE-2024-20011
A-314698315
M-ALPS08441146 *
สูง ตัวถอดรหัส ALAC
CVE-2024-20006
A-314707751
M-ALPS08477148 *
สูง DA
CVE-2024-20007
A-314698312
M-ALPS08441369 *
สูง ตัวถอดรหัส mp3
CVE-2024-20009
A-314698313
M-ALPS08441150 *
สูง ตัวถอดรหัส ALAC
CVE-2024-20010
A-314698314
M-ALPS08358560 *
สูง keyInstall
CVE-2023-32841
A-317829109
M-MOLY01128524 *
สูง โมเด็ม 5G
CVE-2023-32842
A-317826159
M-MOLY01130256 *
สูง โมเด็ม 5G
CVE-2023-32843
A-317829110
M-MOLY01130204 *
สูง โมเด็ม 5G
CVE-2024-20003
A-317829112
M-MOLY01191612 *
สูง โมเด็ม 5G

คอมโพเนนต์ Unisoc

ช่องโหว่เหล่านี้ส่งผลต่อคอมโพเนนต์ของ Unisoc และคุณสามารถดูรายละเอียดเพิ่มเติมได้จาก Unisoc โดยตรง การประเมินความรุนแรงของปัญหาเหล่านี้ มาจาก Unisoc โดยตรง

CVE ข้อมูลอ้างอิง ความรุนแรง คอมโพเนนต์ย่อย
CVE-2023-49667
A-314033392
U-2455269 *
สูง ฟองสบู่แตก
CVE-2023-49668
A-314032846
U-2455269 *
สูง ฟองสบู่แตก

คอมโพเนนต์ของ Qualcomm

ช่องโหว่เหล่านี้ส่งผลกระทบต่อคอมโพเนนต์ของ Qualcomm และมีการอธิบายรายละเอียดเพิ่มเติมในกระดานข่าวสารด้านความปลอดภัยหรือการแจ้งเตือนด้านความปลอดภัยที่เหมาะสมของ Qualcomm การประเมินความรุนแรงของปัญหาเหล่านี้มาจาก Qualcomm โดยตรง

CVE ข้อมูลอ้างอิง ความรุนแรง คอมโพเนนต์ย่อย
CVE-2023-43513
A-303101658
QC-CR#3545432 [2]
สูง ฟองสบู่แตก
CVE-2023-43516
A-309461150
QC-CR#3536092
สูง วิดีโอ
CVE-2023-43520
A-309461173
QC-CR#3575335
สูง WLAN
CVE-2023-43534
A-309461218
QC-CR#3575491
QC-CR#3578829
สูง WLAN

คอมโพเนนต์ที่ไม่เปิดเผยรหัสต้นฉบับของ Qualcomm

ช่องโหว่เหล่านี้ส่งผลกระทบต่อคอมโพเนนต์แบบปิดของ Qualcomm และมีการอธิบายรายละเอียดเพิ่มเติมในกระดานข่าวสารด้านความปลอดภัยหรือการแจ้งเตือนด้านความปลอดภัยที่เหมาะสมของ Qualcomm การประเมินความรุนแรงของปัญหาเหล่านี้ มาจาก Qualcomm โดยตรง

CVE ข้อมูลอ้างอิง ความรุนแรง คอมโพเนนต์ย่อย
CVE-2023-33046
A-295038516 * สูง คอมโพเนนต์แบบปิด
CVE-2023-33049
A-295039556 * สูง คอมโพเนนต์แบบปิด
CVE-2023-33057
A-295039728 * สูง คอมโพเนนต์แบบปิด
CVE-2023-33058
A-295038658 * สูง คอมโพเนนต์แบบปิด
CVE-2023-33060
A-295039022 * สูง คอมโพเนนต์แบบปิด
CVE-2023-33072
A-295038660 * สูง คอมโพเนนต์แบบปิด
CVE-2023-33076
A-295039588 * สูง คอมโพเนนต์แบบปิด
CVE-2023-43518
A-309460837 * สูง คอมโพเนนต์แบบปิด
CVE-2023-43519
A-309461083 * สูง คอมโพเนนต์แบบปิด
CVE-2023-43522
A-309461138 * สูง คอมโพเนนต์แบบปิด
CVE-2023-43523
A-309460866 * สูง คอมโพเนนต์แบบปิด
CVE-2023-43533
A-309461430 * สูง คอมโพเนนต์แบบปิด
CVE-2023-43536
A-309461332 * สูง คอมโพเนนต์แบบปิด

คำถามที่พบบ่อยและคำตอบ

ส่วนนี้จะตอบคำถามที่พบบ่อยซึ่งผู้ใช้อาจสงสัยหลังจากที่อ่านกระดานข่าวสารนี้

1. ฉันจะทราบได้อย่างไรว่าอุปกรณ์ได้รับการอัปเดตเพื่อแก้ไขปัญหาเหล่านี้แล้ว

ดูวิธีตรวจสอบระดับแพตช์ความปลอดภัยของอุปกรณ์ได้ที่ตรวจสอบและอัปเดตเวอร์ชัน Android

  • ระดับแพตช์ด้านความปลอดภัยของวันที่ 01-02-2024 หรือหลังจากนั้นจะแก้ไขปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ด้านความปลอดภัยของวันที่ 01-02-2024
  • ระดับแพตช์ด้านความปลอดภัยของวันที่ 2024-02-05 หรือหลังจากนั้นจะแก้ไข ปัญหาทั้งหมดที่เกี่ยวข้องกับแพตช์ด้านความปลอดภัยระดับ 2024-02-05 และระดับแพตช์ก่อนหน้าทั้งหมด

ผู้ผลิตอุปกรณ์ที่รวมการอัปเดตเหล่านี้ควรตั้งค่าสตริงแพตช์ เป็นระดับต่อไปนี้

  • [ro.build.version.security_patch]:[2024-02-01]
  • [ro.build.version.security_patch]:[2024-02-05]

สำหรับอุปกรณ์บางรุ่นใน Android 10 ขึ้นไป การอัปเดตระบบ Google Play จะมีสตริงวันที่ที่ตรงกับระดับแพตช์ด้านความปลอดภัย 2024-02-01 โปรดดูรายละเอียดเพิ่มเติมเกี่ยวกับวิธี ติดตั้ง การอัปเดตความปลอดภัยได้ที่บทความนี้

2. ทำไมกระดานข่าวนี้จึงมีแพตช์ความปลอดภัย 2 ระดับ

ประกาศนี้มีแพตช์ด้านความปลอดภัย 2 ระดับเพื่อให้พาร์ทเนอร์ของ Android มี ความ ยืดหยุ่นในการแก้ไขช่องโหว่บางส่วนที่คล้ายกันในอุปกรณ์ Android ทั้งหมดได้เร็วขึ้น เราขอแนะนำให้พาร์ทเนอร์ Android แก้ไขปัญหาทั้งหมดในกระดานข่าวนี้และใช้แพตช์ความปลอดภัยระดับล่าสุด

  • อุปกรณ์ที่ใช้ระดับแพตช์ด้านความปลอดภัย 2024-02-01 ต้องรวมปัญหาทั้งหมดที่เชื่อมโยงกับระดับแพตช์ด้านความปลอดภัยนั้น รวมถึง การแก้ไขปัญหาทั้งหมดที่รายงานในกระดานข่าวความปลอดภัยก่อนหน้านี้
  • อุปกรณ์ที่ใช้ระดับแพตช์ด้านความปลอดภัย 2024-02-05 หรือใหม่กว่าต้องมีแพตช์ที่เกี่ยวข้องทั้งหมดในกระดานข่าว ด้านความปลอดภัยนี้ (และก่อนหน้า)

เราขอแนะนำให้พาร์ทเนอร์รวมการแก้ไขปัญหาทั้งหมดที่พาร์ทเนอร์ กำลังดำเนินการไว้ในการอัปเดตครั้งเดียว

3. รายการในคอลัมน์ประเภทหมายถึงอะไร

รายการในคอลัมน์ประเภทของตารางรายละเอียดช่องโหว่ จะอ้างอิงการแยกประเภทช่องโหว่ด้านความปลอดภัย

ตัวย่อ คำจำกัดความ
RCE การดำเนินการกับโค้ดจากระยะไกล
EoP การยกระดับสิทธิ์
รหัส การเปิดเผยข้อมูล
DoS ปฏิเสธการให้บริการ
ไม่มี ไม่มีการแยกประเภท

4. รายการในคอลัมน์การอ้างอิงหมายถึงอะไร

รายการในคอลัมน์การอ้างอิงของตารางรายละเอียดช่องโหว่อาจมีคำนำหน้าที่ระบุองค์กรที่ค่าการอ้างอิงเป็นขององค์กรนั้น

คำนำหน้า ข้อมูลอ้างอิง
A- รหัสข้อบกพร่องของ Android
QC- หมายเลขอ้างอิงของ Qualcomm
M- หมายเลขอ้างอิงของ MediaTek
N- หมายเลขอ้างอิงของ NVIDIA
B- หมายเลขอ้างอิงของ Broadcom
U- หมายเลขอ้างอิงของ UNISOC

5. เครื่องหมาย * ข้างรหัสข้อบกพร่องของ Android ในคอลัมน์การอ้างอิง หมายความว่าอย่างไร

ปัญหาที่ไม่ได้เผยแพร่ต่อสาธารณะจะมีเครื่องหมาย * อยู่ข้างรหัสอ้างอิงที่เกี่ยวข้อง โดยปกติแล้ว การอัปเดตสำหรับปัญหานั้นจะอยู่ใน ไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Pixel ซึ่งมีให้บริการในเว็บไซต์ Google สำหรับนักพัฒนาแอป

6. เหตุใดช่องโหว่ด้านความปลอดภัยจึงแยกออกเป็นกระดานข่าวสารนี้และ กระดานข่าวสารด้านความปลอดภัยของอุปกรณ์ / พาร์ทเนอร์ เช่น กระดานข่าวสารของ Pixel

ช่องโหว่ด้านความปลอดภัยที่บันทึกไว้ในประกาศข่าวสารด้านความปลอดภัยนี้ ต้องประกาศระดับแพตช์ความปลอดภัยล่าสุดในอุปกรณ์ Android ไม่จำเป็นต้องมีช่องโหว่ด้านความปลอดภัยเพิ่มเติมที่บันทึกไว้ใน กระดานข่าวความปลอดภัยของอุปกรณ์ / พาร์ทเนอร์ เพื่อประกาศระดับแพตช์ด้านความปลอดภัย ผู้ผลิตอุปกรณ์และชิปเซ็ต Android อาจเผยแพร่รายละเอียดช่องโหว่ด้านความปลอดภัยที่เฉพาะเจาะจงสำหรับผลิตภัณฑ์ของตนด้วย เช่น Google Huawei LGE Motorola Nokia หรือ Samsung

เวอร์ชัน

เวอร์ชัน วันที่ หมายเหตุ
1.0 5 กุมภาพันธ์ 2024 เผยแพร่ Bulletin แล้ว