กระดานข่าวสารด้านความปลอดภัยของ Android - มีนาคม 2024

เผยแพร่เมื่อ 4 มีนาคม 2024 | อัปเดตเมื่อวันที่ 29 กรกฎาคม 2024

กระดานข่าวสารด้านความปลอดภัยของ Android มีรายละเอียดเกี่ยวกับช่องโหว่ด้านความปลอดภัย ส่งผลต่ออุปกรณ์ Android ระดับแพตช์ความปลอดภัยของ 05-03-2024 หรือใหม่กว่าจะแก้ไขปัญหาเหล่านี้ได้ทั้งหมด หากต้องการดูวิธีตรวจสอบระดับแพตช์ความปลอดภัยของอุปกรณ์ โปรดดู ตรวจสอบและอัปเดตเวอร์ชัน Android ของคุณ

พาร์ทเนอร์ Android จะได้รับการแจ้งเตือนปัญหาทั้งหมดล่วงหน้าอย่างน้อย 1 เดือน สื่อเผยแพร่ เราได้เผยแพร่แพตช์ซอร์สโค้ดสำหรับปัญหาเหล่านี้ใน Android Open แล้ว ที่เก็บของโปรเจ็กต์ต้นทาง (AOSP) และลิงก์จากกระดานข่าวสารนี้ กระดานข่าวสารนี้ จะมีลิงก์ไปยังแพตช์นอก AOSP ด้วย

ปัญหาร้ายแรงที่สุดคือช่องโหว่ด้านความปลอดภัยที่ร้ายแรงใน คอมโพเนนต์ของระบบที่อาจทําให้เกิดการดำเนินการโค้ดระยะไกลโดยไม่เพิ่ม ต้องมีสิทธิ์ในการดำเนินการ การประเมินความรุนแรงจะอิงตามผลกระทบ การแสวงหาประโยชน์จากช่องโหว่ที่อาจเกิดขึ้นได้ ในอุปกรณ์ที่ได้รับผลกระทบ สมมติว่ามีการปิดใช้แพลตฟอร์มและบริการสำหรับการพัฒนา หรือข้ามสำเร็จ

โปรดดูAndroid และ Google Play Protect การผ่อนปรนชั่วคราวสำหรับรายละเอียดเกี่ยวกับ แพลตฟอร์มความปลอดภัยของ Android การป้องกัน และ Google Play Protect ซึ่งปรับปรุง การรักษาความปลอดภัยของแพลตฟอร์ม Android

บริการของ Android และ Google การลดความเสี่ยง

นี่คือสรุปการลดความเสี่ยงจาก แพลตฟอร์มความปลอดภัยของ Android และการป้องกันบริการ เช่น Google Play Protect ความสามารถเหล่านี้ช่วยลด ความเป็นไปได้ที่ช่องโหว่ด้านความปลอดภัยใน Android อาจถูกใช้ประโยชน์ได้สำเร็จ

  • การแสวงหาประโยชน์จากปัญหามากมายบน Android นั้นทำได้ยากขึ้นโดย การเพิ่มประสิทธิภาพบนแพลตฟอร์ม Android เวอร์ชันใหม่กว่า เราขอแนะนำให้ทุกคน ผู้ใช้ อัปเดตเป็น Android เวอร์ชันล่าสุดหากเป็นไปได้
  • ทีมรักษาความปลอดภัยของ Android ตรวจสอบการละเมิดอย่างสม่ำเสมอผ่าน Google Play ปกป้องและเตือนผู้ใช้เกี่ยวกับ มีโอกาส แอปพลิเคชันที่เป็นอันตราย Google Play Protect จะเปิดใช้โดยค่าเริ่มต้นใน อุปกรณ์ กับ Google โทรศัพท์เคลื่อนที่ บริการและมีความสำคัญอย่างยิ่งสำหรับผู้ใช้ที่ติดตั้งแอปจาก นอก Google Play

01-03-2024 รายละเอียดช่องโหว่ระดับแพตช์ความปลอดภัย

ในส่วนด้านล่าง เราจะให้รายละเอียดเกี่ยวกับความปลอดภัยแต่ละรายการ ช่องโหว่ที่เกี่ยวข้องกับระดับแพตช์ 2024-03-01 ระบบจะจัดกลุ่มช่องโหว่ไว้ภายใต้คอมโพเนนต์ที่ได้รับผลกระทบ เราได้อธิบายปัญหาไว้ในตารางด้านล่าง และรวมรหัส CVE ที่เกี่ยวข้อง ประเภทของช่องโหว่ ความรุนแรง และเวอร์ชัน AOSP ที่อัปเดต (หากมี) เราจะลิงก์การเปลี่ยนแปลงแบบสาธารณะที่แก้ปัญหาไปยัง รหัสข้อบกพร่อง เช่น รายการเปลี่ยนแปลง AOSP เมื่อการเปลี่ยนแปลงหลายรายการเกี่ยวข้องกับข้อบกพร่องเดียว การอ้างอิงเพิ่มเติม ซึ่งลิงก์กับหมายเลขที่ตามหลังรหัสข้อบกพร่อง อุปกรณ์ที่ใช้ Android 10 ขึ้นไปอาจได้รับการอัปเดตความปลอดภัย รวมถึง Google เล่น การอัปเดตระบบ

เฟรมเวิร์ก

ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจนำไปสู่การส่งต่อปัญหาในท้องถิ่น โดยไม่ต้องมีสิทธิ์ดำเนินการเพิ่มเติม

CVE ข้อมูลอ้างอิง ประเภท ความรุนแรง เวอร์ชัน AOSP ที่อัปเดต
CVE-2024-0046 A-299441833 EP สูง 12, 12, 13, 14
CVE-2024-0048 A-316893159 EP สูง 12, 12, 13, 14
CVE-2024-0049 A-273936274 EP สูง 12, 12, 13, 14
CVE-2024-0050 A-273935108 EP สูง 12, 12, 13, 14
CVE-2024-0051 A-276442130 EP สูง 12, 12, 13, 14
CVE-2024-0053 A-281525042 รหัส สูง 12, 12, 13, 14
CVE-2024-0047 A-311687929 [2] [3] สิ่งที่ควรทำ สูง 14

ระบบ

ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจนำไปสู่โค้ดระยะไกล โดยไม่จำเป็นต้องมีสิทธิ์ดำเนินการเพิ่มเติม

CVE ข้อมูลอ้างอิง ประเภท ความรุนแรง เวอร์ชัน AOSP ที่อัปเดต
CVE-2024-0039 A-295887535 [2] [3] ใหม่ วิกฤต 12, 12, 13, 14
CVE-2024-23717 A-318374503 EP วิกฤต 12, 12, 13, 14
CVE-2023-40081 A-284297452 รหัส สูง 12, 12, 13, 14
CVE-2024-0045 A-300903400 รหัส สูง 12, 12, 13, 14
CVE-2024-0052 A-303871379 รหัส สูง 14

การอัปเดตระบบ Google Play

ไม่มีปัญหาด้านความปลอดภัยที่ระบุในการอัปเดตระบบของ Google Play (Project Mainline) ในเดือนนี้

05-03-2024 รายละเอียดช่องโหว่ระดับแพตช์ความปลอดภัย

ในส่วนด้านล่าง เราจะให้รายละเอียดเกี่ยวกับความปลอดภัยแต่ละรายการ ช่องโหว่ที่เกี่ยวข้องกับระดับแพตช์ 2024-03-05 ระบบจะจัดกลุ่มช่องโหว่ไว้ภายใต้คอมโพเนนต์ที่ได้รับผลกระทบ เราได้อธิบายปัญหาไว้ในตารางด้านล่าง และรวมรหัส CVE ที่เกี่ยวข้อง ประเภทของช่องโหว่ ความรุนแรง และเวอร์ชัน AOSP ที่อัปเดต (หากมี) เราจะลิงก์การเปลี่ยนแปลงแบบสาธารณะที่แก้ปัญหาไปยัง รหัสข้อบกพร่อง เช่น รายการเปลี่ยนแปลง AOSP เมื่อการเปลี่ยนแปลงหลายรายการเกี่ยวข้องกับข้อบกพร่องเดียว การอ้างอิงเพิ่มเติม ซึ่งลิงก์กับหมายเลขที่ตามหลังรหัสข้อบกพร่อง

AMLogic

ช่องโหว่เหล่านี้ส่งผลต่อคอมโพเนนต์ AMLogic และรายละเอียดเพิ่มเติมมีดังนี้ จาก AMLogic โดยตรง AMLogic เป็นผู้ประเมินความรุนแรงของปัญหาโดยตรง

CVE ข้อมูลอ้างอิง ความรุนแรง องค์ประกอบย่อย
CVE-2023-48424
A-315373062 * สูง Bootloader
CVE-2023-48425
A-319132171 * สูง Bootloader

ส่วนประกอบของแขน

ช่องโหว่เหล่านี้มีผลต่อคอมโพเนนต์ Arm และมีรายละเอียดเพิ่มเติม จาก Arm ได้โดยตรง โดย Arm เป็นผู้ประเมินความรุนแรงของปัญหาเหล่านี้โดยตรง

CVE ข้อมูลอ้างอิง ความรุนแรง องค์ประกอบย่อย
CVE-2023-6143
A-316197619 * สูง มาลี
CVE-2023-6241
A-316206835 * สูง มาลี

คอมโพเนนต์ของ MediaTek

ช่องโหว่เหล่านี้ส่งผลกระทบต่อคอมโพเนนต์ MediaTek และรายละเอียดเพิ่มเติม ที่มีให้ได้โดยตรงจาก MediaTek MediaTek เป็นผู้ประเมินความรุนแรงของปัญหาเหล่านี้โดยตรง

CVE ข้อมูลอ้างอิง ความรุนแรง องค์ประกอบย่อย
CVE-2024-20005
A-318303317
M-ALPS08355599 *
สูง da
CVE-2024-20022
A-318302377
M-ALPS08528255 *
สูง LK
CVE-2024-20023
A-318302378
M-ALPS08541638 *
สูง Flashc
CVE-2024-20024
A-318316114
M-ALPS08541635 *
สูง Flashc
CVE-2024-20025
A-318316115
M-ALPS08541686 *
สูง da
CVE-2024-20027
A-318316117
M-ALPS08541632 *
สูง da
CVE-2024-20028
A-318310276
M-ALPS08541632 *
สูง da
CVE-2024-20020
A-318302372
M-ALPS08522504 *
สูง ออปที
CVE-2024-20026
A-318310274
M-ALPS08541632 *
สูง da

คอมโพเนนต์ Qualcomm

ช่องโหว่เหล่านี้ส่งผลกระทบต่อคอมโพเนนต์ Qualcomm และได้มีการอธิบายเพิ่มเติมเกี่ยวกับ ในกระดานข่าวสารด้านความปลอดภัยหรือการแจ้งเตือนด้านความปลอดภัยของ Qualcomm ที่เหมาะสม Qualcomm เป็นผู้ประเมินความรุนแรงของปัญหาเหล่านี้โดยตรง

CVE ข้อมูลอ้างอิง ความรุนแรง องค์ประกอบย่อย
CVE-2023-43546
A-314790498
QC-CR#3602482
สูง ความปลอดภัย
CVE-2023-43547
A-314791076
QC-CR#3602462 [2]
สูง ความปลอดภัย
CVE-2023-43550
A-314791623
QC-CR#3595842
สูง เคอร์เนล
CVE-2023-43552
A-314791054
QC-CR#3583521
สูง WLAN
CVE-2023-43553
A-314791341
QC-CR#3580821
สูง WLAN

คอมโพเนนต์โอเพนซอร์สของ Qualcomm

ช่องโหว่เหล่านี้ส่งผลกระทบต่อคอมโพเนนต์แบบปิดของ Qualcomm และ ตามที่อธิบายไว้โดยละเอียดเพิ่มเติมในกระดานข่าวสารด้านความปลอดภัย Qualcomm ที่เหมาะสม หรือ การแจ้งเตือนความปลอดภัย Qualcomm เป็นผู้ประเมินความรุนแรงของปัญหาเหล่านี้โดยตรง

CVE ข้อมูลอ้างอิง ความรุนแรง องค์ประกอบย่อย
CVE-2023-28578
A-285902353 * วิกฤต คอมโพเนนต์แบบปิด
CVE-2023-33042
A-295039320 * สูง คอมโพเนนต์แบบปิด
CVE-2023-33066
A-303101493 * สูง คอมโพเนนต์แบบปิด
CVE-2023-33105
A-314790953 * สูง คอมโพเนนต์แบบปิด
CVE-2023-43539
A-314791241 * สูง คอมโพเนนต์แบบปิด
CVE-2023-43548
A-314790932 * สูง คอมโพเนนต์แบบปิด
CVE-2023-43549
A-314791266 * สูง คอมโพเนนต์แบบปิด

คำถามที่พบบ่อยและคำตอบ

ส่วนนี้จะตอบคำถามที่พบบ่อยซึ่งอาจเกิดขึ้นหลังจากอ่านข้อความนี้ กระดานข่าวสาร

1. ฉันจะรู้ได้อย่างไรว่าอุปกรณ์ได้รับการอัปเดตเพื่อจัดการปัญหาเหล่านี้ มีปัญหาไหม

หากต้องการดูวิธีตรวจสอบระดับแพตช์ความปลอดภัยของอุปกรณ์ โปรดดู ตรวจสอบและอัปเดตเวอร์ชัน Android ของคุณ

  • ระดับแพตช์ความปลอดภัยของที่อยู่ 01-03-2024 หรือหลังจากนั้น ปัญหาทั้งหมดที่เกี่ยวข้องกับแพตช์ความปลอดภัย 2024-03-01
  • ระดับแพตช์ความปลอดภัยของที่อยู่ 05-03-2024 หรือหลังจากนั้น ปัญหาทั้งหมดที่เกี่ยวข้องกับแพตช์ความปลอดภัย 2024-03-05 และระดับแพตช์ก่อนหน้าทั้งหมด

ผู้ผลิตอุปกรณ์ที่มีการอัปเดตเหล่านี้ควรตั้งค่าสตริงแพตช์ ระดับเป็น:

  • [ro.build.version.security_patch]:[01-03-2024]
  • [ro.build.version.security_patch]:[05-03-2024]

สำหรับอุปกรณ์บางรุ่นที่ใช้ Android 10 ขึ้นไป ระบบจะอัปเดตระบบ Google Play จะมีสตริงวันที่ที่ตรงกับ 2024-03-01 ระดับแพตช์ความปลอดภัย โปรดอ่านบทความนี้เพื่อดูรายละเอียดเพิ่มเติม ติดตั้งการอัปเดตความปลอดภัย

2. เหตุใดกระดานข่าวสารนี้มีแพตช์ความปลอดภัย 2 ระดับ

กระดานข่าวสารนี้มีระดับแพตช์ความปลอดภัย 2 ระดับเพื่อให้พาร์ทเนอร์ของ Android มี เวลา ความยืดหยุ่นในการแก้ไขช่องโหว่บางข้อที่คล้ายคลึงกัน อุปกรณ์ Android ได้รวดเร็วยิ่งขึ้น พาร์ทเนอร์ Android ขอแนะนำให้แก้ไขทั้งหมด ปัญหา ในกระดานข่าวสารนี้และใช้ระดับแพตช์ความปลอดภัยล่าสุด

  • อุปกรณ์ที่ใช้ระดับแพตช์ความปลอดภัย 2024-03-01 ต้องมีปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัยนั้นด้วย ในฐานะ แก้ไขปัญหาทั้งหมดที่รายงานในกระดานข่าวสารด้านความปลอดภัยก่อนหน้านี้
  • อุปกรณ์ที่ใช้ระดับแพตช์ความปลอดภัย 2024-03-05 ขึ้นไปต้องมีแพตช์ที่เกี่ยวข้องทั้งหมดในการรักษาความปลอดภัยนี้ (และก่อนหน้านี้) กระดานข่าวสาร

พาร์ทเนอร์ควรรวมการแก้ไขปัญหาทั้งหมดไว้ด้วยกัน ด้วยการอัปเดตเพียงครั้งเดียว

3. รายการในคอลัมน์ประเภทหมายความว่าอย่างไร

รายการในคอลัมน์ประเภทของตารางรายละเอียดช่องโหว่ ให้อ้างอิงการจัดประเภทช่องโหว่ด้านความปลอดภัย

ตัวย่อ คำจำกัดความ
ใหม่ การดำเนินการกับโค้ดจากระยะไกล
EP การยกระดับสิทธิ์
รหัส การเปิดเผยข้อมูล
สิ่งที่ควรทำ ปฏิเสธการให้บริการ
ไม่มี ไม่มีการแยกประเภท

4. รายการในคอลัมน์ข้อมูลอ้างอิงคืออะไร

รายการในคอลัมน์ข้อมูลอ้างอิงของรายละเอียดช่องโหว่ ตารางอาจมีคำนำหน้าที่ระบุองค์กรซึ่ง ข้อมูลอ้างอิง มีค่าเป็นของ Google

คำนำหน้า ข้อมูลอ้างอิง
A- รหัสข้อบกพร่องของ Android
QC- หมายเลขอ้างอิง Qualcomm
จ- หมายเลขอ้างอิง MediaTek
น. หมายเลขอ้างอิง NVIDIA
B- หมายเลขอ้างอิง Broadcom
U- หมายเลขอ้างอิง UNISOC

5. เครื่องหมาย * ข้างรหัสข้อบกพร่องของ Android ในข้อมูลอ้างอิงคืออะไร จะหมายถึงอะไร

ปัญหาที่ไม่ได้เผยแพร่ต่อสาธารณะจะมีเครื่องหมาย * อยู่ถัดจากเนื้อหาที่เกี่ยวข้อง รหัสอ้างอิง การอัปเดตสำหรับปัญหาดังกล่าวมักเป็นของ ไดรเวอร์ไบนารีของอุปกรณ์ Pixel ที่พร้อมใช้งานจาก Google เว็บไซต์ของนักพัฒนาซอฟต์แวร์

6. เหตุใดช่องโหว่ด้านความปลอดภัยจึงแบ่งระหว่างกระดานข่าวสารนี้กับ กระดานข่าวสารด้านความปลอดภัยของอุปกรณ์ / พาร์ทเนอร์ เช่น กระดานข่าวสาร Pixel

ช่องโหว่ด้านความปลอดภัยที่ระบุในกระดานข่าวสารด้านความปลอดภัยนี้คือ ที่จำเป็นต่อการประกาศระดับแพตช์ความปลอดภัยล่าสุดใน Android อุปกรณ์ ช่องโหว่ด้านความปลอดภัยอื่นๆ ที่ระบุในเอกสาร ไม่จำเป็นต้องมีกระดานข่าวสารด้านความปลอดภัยของอุปกรณ์ / พาร์ทเนอร์สำหรับ ประกาศระดับแพตช์ความปลอดภัย ผู้ผลิตอุปกรณ์และชิปเซ็ต Android อาจเผยแพร่รายละเอียดช่องโหว่ ด้านความปลอดภัยของผลิตภัณฑ์ เช่น Google Huawei LGE Motorola Nokia หรือ Samsung

เวอร์ชัน

เวอร์ชัน วันที่ หมายเหตุ
1.0 4 มีนาคม 2024 เผยแพร่กระดานข่าวสารแล้ว
1.1 29 กรกฎาคม 2024 อัปเดตตาราง CVE แล้ว