กระดานข่าวสารด้านความปลอดภัยของ Android มีรายละเอียดช่องโหว่ด้านความปลอดภัย ที่ส่งผลกระทบต่ออุปกรณ์ Android ระดับแพตช์ด้านความปลอดภัยของ 2024-04-05 หรือใหม่กว่าจะแก้ไขปัญหาทั้งหมดเหล่านี้ ดูวิธีตรวจสอบระดับแพตช์ด้านความปลอดภัยของอุปกรณ์ได้ที่ตรวจสอบและอัปเดตเวอร์ชัน Android
พาร์ทเนอร์ Android จะได้รับการแจ้งเตือนเกี่ยวกับปัญหาทั้งหมดอย่างน้อย 1 เดือนก่อน การเผยแพร่ เราจะเผยแพร่แพตช์ซอร์สโค้ดสำหรับปัญหาเหล่านี้ไปยังที่เก็บของโครงการโอเพนซอร์ส Android (AOSP) ในอีก 48 ชั่วโมง เราจะแก้ไข กระดานข่าวนี้พร้อมลิงก์ AOSP เมื่อพร้อมใช้งาน
ปัญหาที่ร้ายแรงที่สุดคือช่องโหว่ด้านความปลอดภัยระดับสูงใน คอมโพเนนต์ของระบบ ซึ่งอาจนำไปสู่การยกระดับสิทธิ์ในเครื่องโดยไม่ต้อง มีสิทธิ์การดำเนินการเพิ่มเติม การประเมินความรุนแรงจะอิงตามผลกระทบที่การใช้ช่องโหว่อาจมีต่ออุปกรณ์ที่ได้รับผลกระทบ โดยสมมติว่ามีการปิดการลดความเสี่ยงของแพลตฟอร์มและบริการเพื่อวัตถุประสงค์ในการพัฒนา หรือหากมีการข้ามการลดความเสี่ยงได้สำเร็จ
ดูรายละเอียดเกี่ยวกับการป้องกันแพลตฟอร์มความปลอดภัยของ Android และ Google Play Protect ซึ่งช่วยปรับปรุงความปลอดภัยของแพลตฟอร์ม Android ได้ที่ส่วนการลดความเสี่ยงของ Android และ Google Play Protect
การลดความเสี่ยงในบริการของ Android และ Google
นี่คือสรุปการลดความเสี่ยงที่แพลตฟอร์มความปลอดภัยของ Android และการป้องกันบริการ เช่น Google Play Protect มอบให้ ความสามารถเหล่านี้ช่วยลดโอกาสที่ช่องโหว่ด้านความปลอดภัยจะถูกเจาะใน Android ได้สำเร็จ
- การใช้ช่องโหว่สำหรับปัญหาหลายอย่างใน Android ทำได้ยากขึ้นเนื่องจาก การปรับปรุงในแพลตฟอร์ม Android เวอร์ชันใหม่ เราขอแนะนำให้ผู้ใช้ทุกรายอัปเดตเป็น Android เวอร์ชันล่าสุดหากเป็นไปได้
- ทีมความปลอดภัยของ Android คอยตรวจสอบการละเมิดผ่าน Google Play Protect และเตือนผู้ใช้เกี่ยวกับแอปพลิเคชันที่อาจเป็นอันตราย Google Play Protect จะเปิดใช้โดยค่าเริ่มต้นในอุปกรณ์ที่มีบริการของ Google Mobile และมีความสำคัญอย่างยิ่งสำหรับผู้ใช้ที่ติดตั้งแอปจากภายนอก Google Play
2024-04-01 รายละเอียดช่องโหว่ระดับแพตช์ด้านความปลอดภัย
ในส่วนด้านล่าง เราจะให้รายละเอียดเกี่ยวกับช่องโหว่ด้านความปลอดภัยแต่ละรายการที่ใช้กับแพตช์ระดับ 2024-04-01 ระบบจะแบ่งประเภทช่องโหว่ตามคอมโพเนนต์ที่ได้รับผลกระทบ ปัญหาจะอธิบายไว้ในตารางด้านล่างและมีรหัส CVE, ข้อมูลอ้างอิงที่เกี่ยวข้อง, ประเภทของช่องโหว่, ความรุนแรง และเวอร์ชัน AOSP ที่อัปเดตแล้ว (หากมี) หากมี เราจะลิงก์การเปลี่ยนแปลงแบบสาธารณะที่แก้ไขปัญหาไปยังรหัสข้อบกพร่อง เช่น รายการการเปลี่ยนแปลงของ AOSP เมื่อการเปลี่ยนแปลงหลายรายการเกี่ยวข้องกับข้อบกพร่องเดียว ระบบจะลิงก์ข้อมูลอ้างอิงเพิ่มเติมกับหมายเลขที่ต่อท้ายรหัสข้อบกพร่อง อุปกรณ์ที่ใช้ Android 10 ขึ้นไปอาจได้รับการอัปเดตความปลอดภัยและการอัปเดตระบบ Google Play
Framework
ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้เกิดการยกระดับสิทธิ์ในเครื่องโดยไม่ต้องมีสิทธิ์การดำเนินการเพิ่มเติม
| CVE | ข้อมูลอ้างอิง | ประเภท | ความรุนแรง | เวอร์ชัน AOSP ที่อัปเดตแล้ว |
|---|---|---|---|---|
| CVE-2024-23710 | A-311374917 | EoP | สูง | 13, 14 |
| CVE-2024-23713 | A-305926929 | EoP | สูง | 12, 12L, 13, 14 |
| CVE-2024-0022 | A-298635078 | รหัส | สูง | 13, 14 |
| CVE-2024-23712 | A-304983146 | DoS | สูง | 12, 12L, 13, 14 |
ระบบ
ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้เกิดการยกระดับสิทธิ์ในเครื่องโดยไม่ต้องมีสิทธิ์การดำเนินการเพิ่มเติม
| CVE | ข้อมูลอ้างอิง | ประเภท | ความรุนแรง | เวอร์ชัน AOSP ที่อัปเดตแล้ว |
|---|---|---|---|---|
| CVE-2024-23704 | A-299931761 | EoP | สูง | 13, 14 |
| CVE-2023-21267 | A-218495634 [2] [3] | รหัส | สูง | 12, 12L, 13, 14 |
| CVE-2024-0026 | A-308414141 | DoS | สูง | 12, 12L, 13, 14 |
| CVE-2024-0027 | A-307948424 | DoS | สูง | 12, 12L, 13, 14 |
การอัปเดตระบบ Google Play
การอัปเดตระบบ Google Play (โปรเจ็กต์ Mainline) ในเดือนนี้ไม่มีการแก้ไขปัญหาด้านความปลอดภัย
2024-04-05 รายละเอียดช่องโหว่ระดับแพตช์ด้านความปลอดภัย
ในส่วนด้านล่าง เราจะให้รายละเอียดเกี่ยวกับช่องโหว่ด้านความปลอดภัยแต่ละรายการที่ใช้กับแพตช์ระดับ 2024-04-05 ระบบจะแบ่งประเภทช่องโหว่ตามคอมโพเนนต์ที่ได้รับผลกระทบ ปัญหาจะอธิบายไว้ในตารางด้านล่างและมีรหัส CVE, ข้อมูลอ้างอิงที่เกี่ยวข้อง, ประเภทของช่องโหว่, ความรุนแรง และเวอร์ชัน AOSP ที่อัปเดตแล้ว (หากมี) หากมี เราจะลิงก์การเปลี่ยนแปลงแบบสาธารณะที่แก้ไขปัญหาไปยังรหัสข้อบกพร่อง เช่น รายการการเปลี่ยนแปลงของ AOSP เมื่อการเปลี่ยนแปลงหลายรายการเกี่ยวข้องกับข้อบกพร่องเดียว ระบบจะลิงก์ข้อมูลอ้างอิงเพิ่มเติมกับหมายเลขที่ต่อท้ายรหัสข้อบกพร่อง
คอมโพเนนต์ของ MediaTek
ช่องโหว่เหล่านี้ส่งผลต่อคอมโพเนนต์ของ MediaTek และดูรายละเอียดเพิ่มเติมได้จาก MediaTek โดยตรง การประเมินความรุนแรงของปัญหาเหล่านี้มาจาก MediaTek โดยตรง
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | องค์ประกอบย่อย |
|---|---|---|---|
| CVE-2024-20039 |
A-323462011
M-MOLY01240012 * |
สูง | โปรโตคอลโมเด็ม |
| CVE-2024-20040 |
A-323465955
M-ALPS08360153 * |
สูง | เฟิร์มแวร์ WLAN |
| CVE-2023-32890 |
A-323469023
M-MOLY01183647 * |
สูง | EMM ของโมเด็ม |
Widevine
ช่องโหว่นี้ส่งผลต่อคอมโพเนนต์ Widevine และดูรายละเอียดเพิ่มเติมได้จาก Widevine โดยตรง Widevine เป็นผู้ประเมินความรุนแรงของปัญหานี้โดยตรง
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | องค์ประกอบย่อย |
|---|---|---|---|
| CVE-2024-0042 |
A-312543200 * | สูง | Widevine DRM |
คอมโพเนนต์ของ Qualcomm
ช่องโหว่เหล่านี้ส่งผลกระทบต่อคอมโพเนนต์ของ Qualcomm และมีรายละเอียดเพิ่มเติม ในกระดานข่าวสารด้านความปลอดภัยหรือการแจ้งเตือนความปลอดภัยที่เหมาะสมของ Qualcomm การประเมินความรุนแรงของปัญหาเหล่านี้มาจาก Qualcomm โดยตรง
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | องค์ประกอบย่อย |
|---|---|---|---|
| CVE-2024-21468 |
A-318393412
QC-CR#3614610 [2] |
สูง | เคอร์เนล |
| CVE-2024-21472 |
A-318393741
QC-CR#3626401 |
สูง | เคอร์เนล |
คอมโพเนนต์ที่ไม่เปิดเผยรหัสต้นฉบับของ Qualcomm
ช่องโหว่เหล่านี้ส่งผลกระทบต่อคอมโพเนนต์แบบปิดซอร์สของ Qualcomm และมี รายละเอียดเพิ่มเติมในกระดานข่าวสารด้านความปลอดภัยของ Qualcomm หรือ การแจ้งเตือนด้านความปลอดภัยที่เกี่ยวข้อง การประเมินความรุนแรงของปัญหาเหล่านี้มาจาก Qualcomm โดยตรง
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | องค์ประกอบย่อย |
|---|---|---|---|
| CVE-2023-28582 |
A-299147008 * | วิกฤต | คอมโพเนนต์แบบปิด |
| CVE-2023-28547 |
A-303101227 * | สูง | คอมโพเนนต์แบบปิด |
| CVE-2023-33023 |
A-303101376 * | สูง | คอมโพเนนต์แบบปิด |
| CVE-2023-33084 |
A-299146258 * | สูง | คอมโพเนนต์แบบปิด |
| CVE-2023-33086 |
A-299146962 * | สูง | คอมโพเนนต์แบบปิด |
| CVE-2023-33095 |
A-299146595 * | สูง | คอมโพเนนต์แบบปิด |
| CVE-2023-33096 |
A-299146025 * | สูง | คอมโพเนนต์แบบปิด |
| CVE-2023-33099 |
A-303101372 * | สูง | คอมโพเนนต์แบบปิด |
| CVE-2023-33100 |
A-303101224 * | สูง | คอมโพเนนต์แบบปิด |
| CVE-2023-33101 |
A-303101066 * | สูง | คอมโพเนนต์แบบปิด |
| CVE-2023-33103 |
A-299146257 * | สูง | คอมโพเนนต์แบบปิด |
| CVE-2023-33104 |
A-299146882 * | สูง | คอมโพเนนต์แบบปิด |
| CVE-2023-33115 |
A-303101567 * | สูง | คอมโพเนนต์แบบปิด |
| CVE-2024-21463 |
A-318393254 * | สูง | คอมโพเนนต์แบบปิด |
คำถามที่พบบ่อยและคำตอบ
ส่วนนี้จะตอบคำถามที่พบบ่อยซึ่งผู้ใช้อาจสงสัยหลังจากที่อ่านกระดานข่าวสารนี้
1. ฉันจะทราบได้อย่างไรว่าอุปกรณ์ได้รับการอัปเดตเพื่อแก้ไขปัญหาเหล่านี้แล้ว
ดูวิธีตรวจสอบระดับแพตช์ด้านความปลอดภัยของอุปกรณ์ได้ที่ตรวจสอบและอัปเดตเวอร์ชัน Android
- ระดับแพตช์ความปลอดภัยตั้งแต่ 2024-04-01 เป็นต้นไปจะแก้ไขปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัย 2024-04-01
- ระดับแพตช์ด้านความปลอดภัยของวันที่ 05-04-2024 หรือหลังจากนั้นจะแก้ไขปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ด้านความปลอดภัยของวันที่ 05-04-2024 และระดับแพตช์ก่อนหน้าทั้งหมด
ผู้ผลิตอุปกรณ์ที่รวมการอัปเดตเหล่านี้ควรตั้งค่าสตริงแพตช์ ระดับเป็น
- [ro.build.version.security_patch]:[2024-04-01]
- [ro.build.version.security_patch]:[2024-04-05]
สำหรับอุปกรณ์บางรุ่นที่ใช้ Android 10 ขึ้นไป การอัปเดตระบบ Google Play จะมีสตริงวันที่ที่ตรงกับระดับแพตช์ด้านความปลอดภัย 2024-04-01 โปรดดูรายละเอียดเพิ่มเติมเกี่ยวกับวิธี ติดตั้ง การอัปเดตความปลอดภัยได้ในบทความนี้
2. ทำไมกระดานข่าวนี้จึงมีแพตช์ความปลอดภัย 2 ระดับ
กระดานข่าวนี้มีแพตช์ด้านความปลอดภัย 2 ระดับเพื่อให้พาร์ทเนอร์ของ Android มี ความ ยืดหยุ่นในการแก้ไขช่องโหว่บางส่วนที่คล้ายกันในอุปกรณ์ Android ทั้งหมดได้เร็วขึ้น เราขอแนะนำให้พาร์ทเนอร์ Android แก้ไขปัญหาทั้งหมดในกระดานข่าวนี้และใช้ระดับแพตช์ด้านความปลอดภัยล่าสุด
- อุปกรณ์ที่ใช้ระดับแพตช์ด้านความปลอดภัย 2024-04-01 ต้องรวมปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ด้านความปลอดภัยนั้น รวมถึง การแก้ไขปัญหาทั้งหมดที่รายงานในกระดานข่าวความปลอดภัยก่อนหน้า
- อุปกรณ์ที่ใช้ระดับแพตช์ด้านความปลอดภัย 2024-04-05 หรือใหม่กว่าต้องมีแพตช์ที่เกี่ยวข้องทั้งหมดในกระดานข่าวความปลอดภัยนี้ (และก่อนหน้า)
เราขอแนะนำให้พาร์ทเนอร์รวมการแก้ไขปัญหาทั้งหมดที่กำลังดำเนินการไว้ในการอัปเดตครั้งเดียว
3. รายการในคอลัมน์ประเภทหมายถึงอะไร
รายการในคอลัมน์ประเภทของตารางรายละเอียดช่องโหว่ จะอ้างอิงการแยกประเภทช่องโหว่ด้านความปลอดภัย
| ตัวย่อ | คำจำกัดความ |
|---|---|
| RCE | การดำเนินการกับโค้ดจากระยะไกล |
| EoP | การยกระดับสิทธิ์ |
| ID | การเปิดเผยข้อมูล |
| DoS | การปฏิเสธการให้บริการ |
| ไม่มี | ไม่มีการแยกประเภท |
4. รายการในคอลัมน์การอ้างอิงหมายถึงอะไร
รายการในคอลัมน์การอ้างอิงของตารางรายละเอียดช่องโหว่อาจมีคำนำหน้าที่ระบุองค์กรที่ค่าการอ้างอิงเป็นขององค์กรนั้น
| คำนำหน้า | ข้อมูลอ้างอิง |
|---|---|
| A- | รหัสข้อบกพร่องของ Android |
| QC- | หมายเลขอ้างอิงของ Qualcomm |
| M- | หมายเลขอ้างอิงของ MediaTek |
| N- | หมายเลขอ้างอิงของ NVIDIA |
| B- | หมายเลขอ้างอิงของ Broadcom |
| U- | หมายเลขอ้างอิงของ UNISOC |
5. เครื่องหมาย * ข้างรหัสข้อบกพร่องของ Android ในคอลัมน์การอ้างอิง หมายความว่าอย่างไร
ปัญหาที่ไม่ได้เผยแพร่ต่อสาธารณะจะมีเครื่องหมาย * อยู่ข้างรหัสอ้างอิงที่เกี่ยวข้อง โดยทั่วไปแล้ว การอัปเดตสำหรับปัญหานั้นจะอยู่ใน ไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Pixel ซึ่งพร้อมให้บริการจาก เว็บไซต์นักพัฒนาแอปของ Google
6. เหตุใดช่องโหว่ด้านความปลอดภัยจึงแยกออกเป็นประกาศนี้และ ประกาศด้านความปลอดภัยของอุปกรณ์/พาร์ทเนอร์ เช่น ประกาศของ Pixel
ช่องโหว่ด้านความปลอดภัยที่บันทึกไว้ในประกาศข่าวสารด้านความปลอดภัยนี้ จำเป็นต้องประกาศระดับแพตช์ด้านความปลอดภัยล่าสุดในอุปกรณ์ Android คุณไม่จำเป็นต้องระบุช่องโหว่ด้านความปลอดภัยเพิ่มเติมที่บันทึกไว้ใน ประกาศข่าวสารด้านความปลอดภัยของอุปกรณ์/พาร์ทเนอร์ เพื่อประกาศระดับแพตช์ด้านความปลอดภัย ผู้ผลิตอุปกรณ์ Android และชิปเซ็ต อาจเผยแพร่รายละเอียดช่องโหว่ด้านความปลอดภัยที่เฉพาะเจาะจงสำหรับผลิตภัณฑ์ของตนด้วย เช่น Google Huawei LGE Motorola Nokia หรือ Samsung
เวอร์ชัน
| เวอร์ชัน | วันที่ | หมายเหตุ |
|---|---|---|
| 1.0 | 1 เมษายน 2024 | เผยแพร่ Bulletin แล้ว |