ตั้งแต่ปี 2026 เป็นต้นไป เราจะเผยแพร่ซอร์สโค้ดไปยัง AOSP ในไตรมาสที่ 2 และ 4 เพื่อให้สอดคล้องกับโมเดลการพัฒนาแบบ Trunk Stable และรับประกันความเสถียรของแพลตฟอร์มสำหรับระบบนิเวศ หากต้องการสร้างและมีส่วนร่วมใน AOSP ให้ใช้ android-latest-release android-latest-release สาขา Manifest จะอ้างอิงถึงรุ่นล่าสุดที่พุชไปยัง AOSP เสมอ ดูข้อมูลเพิ่มเติมได้ที่การเปลี่ยนแปลงใน AOSP

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

ประกาศข่าวสารด้านความปลอดภัยของ Android - พฤษภาคม 2024

เผยแพร่เมื่อวันที่ 6 พฤษภาคม 2024

กระดานข่าวสารด้านความปลอดภัยของ Android มีรายละเอียดช่องโหว่ด้านความปลอดภัย ที่ส่งผลกระทบต่ออุปกรณ์ Android ระดับแพตช์ด้านความปลอดภัยของ 2024-05-05 หรือใหม่กว่าจะแก้ไขปัญหาเหล่านี้ทั้งหมด ดูวิธีตรวจสอบระดับแพตช์ด้านความปลอดภัยของอุปกรณ์ได้ที่ตรวจสอบและอัปเดตเวอร์ชัน Android

พาร์ทเนอร์ Android จะได้รับการแจ้งเตือนเกี่ยวกับปัญหาทั้งหมดอย่างน้อย 1 เดือนก่อนการเผยแพร่ มีการเผยแพร่ซอร์สโค้ด แพตช์สำหรับปัญหาเหล่านี้ไปยังที่เก็บของโครงการโอเพนซอร์ส Android (AOSP) และลิงก์จากกระดานข่าวนี้ ประกาศนี้ยังมีลิงก์ไปยังแพตช์ภายนอก AOSP ด้วย

ปัญหาที่ร้ายแรงที่สุดคือช่องโหว่ด้านความปลอดภัยที่ร้ายแรงในคอมโพเนนต์ของระบบ ซึ่งอาจนำไปสู่การเพิ่มสิทธิ์ในเครื่องโดยไม่ต้องมีสิทธิ์ในการดำเนินการเพิ่มเติม การประเมินความรุนแรงจะอิงตามผลกระทบที่การใช้ช่องโหว่อาจมีต่ออุปกรณ์ที่ได้รับผลกระทบ โดยสมมติว่ามีการปิดการลดความเสี่ยงของแพลตฟอร์มและบริการเพื่อวัตถุประสงค์ในการพัฒนาหรือหากมีการข้ามการลดความเสี่ยงได้สำเร็จ

ดูรายละเอียดเกี่ยวกับการป้องกันแพลตฟอร์มความปลอดภัยของ Android และ Google Play Protect ซึ่งช่วยปรับปรุงความปลอดภัยของแพลตฟอร์ม Android ได้ที่ส่วนการลดความเสี่ยงของ Android และ Google Play Protect

การลดความเสี่ยงของบริการ Android และ Google

นี่คือสรุปการลดความเสี่ยงที่แพลตฟอร์มความปลอดภัยของ Android และการป้องกันบริการ เช่น Google Play Protect มอบให้ ความสามารถเหล่านี้ช่วยลดโอกาสที่ช่องโหว่ด้านความปลอดภัยจะถูกเจาะใน Android ได้สำเร็จ

การใช้ช่องโหว่สำหรับปัญหาหลายอย่างใน Android ทำได้ยากขึ้นเนื่องจาก การปรับปรุงในแพลตฟอร์ม Android เวอร์ชันใหม่ เราขอแนะนำให้ผู้ใช้ทุกราย อัปเดตเป็น Android เวอร์ชันล่าสุดหากเป็นไปได้
ทีมความปลอดภัยของ Android คอยตรวจสอบการละเมิดผ่าน Google Play Protect และเตือนผู้ใช้เกี่ยวกับแอปพลิเคชันที่อาจเป็นอันตราย Google Play Protect จะเปิดใช้โดยค่าเริ่มต้นในอุปกรณ์ที่ใช้บริการของ Google Mobile และมีความสำคัญอย่างยิ่งสำหรับผู้ใช้ที่ติดตั้งแอปจากภายนอก Google Play

รายละเอียดช่องโหว่ระดับแพตช์ด้านความปลอดภัย 2024-05-01

ในส่วนด้านล่าง เราจะให้รายละเอียดเกี่ยวกับช่องโหว่ด้านความปลอดภัยแต่ละรายการที่ใช้กับแพตช์ระดับ 2024-05-01 ระบบจะแบ่งประเภทช่องโหว่ตามคอมโพเนนต์ที่ได้รับผลกระทบ ปัญหาจะอธิบายไว้ในตารางด้านล่างและมีรหัส CVE, ข้อมูลอ้างอิงที่เกี่ยวข้อง, ประเภทของช่องโหว่, ความรุนแรง และเวอร์ชัน AOSP ที่อัปเดตแล้ว (หากมี) หากมี เราจะลิงก์การเปลี่ยนแปลงแบบสาธารณะที่แก้ไขปัญหาไปยังรหัสข้อบกพร่อง เช่น รายการการเปลี่ยนแปลงของ AOSP เมื่อการเปลี่ยนแปลงหลายรายการเกี่ยวข้องกับข้อบกพร่องเดียว ระบบจะลิงก์ข้อมูลอ้างอิงเพิ่มเติมกับหมายเลขที่ต่อท้ายรหัสข้อบกพร่อง อุปกรณ์ที่ใช้ Android 10 ขึ้นไปอาจได้รับการอัปเดตความปลอดภัยและการอัปเดตระบบ Google Play

Framework

ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้เกิดการเพิ่มสิทธิ์ในเครื่องโดยไม่ต้องมีสิทธิ์การดำเนินการเพิ่มเติม

CVE	ข้อมูลอ้างอิง	ประเภท	ความรุนแรง	เวอร์ชัน AOSP ที่อัปเดตแล้ว
CVE-2024-0024	A-293602317	EoP	สูง	12, 12L, 13, 14
CVE-2024-0025	A-279428283	EoP	สูง	12, 12L, 13, 14
CVE-2024-23705	A-293602970	EoP	สูง	12, 12L, 13, 14
CVE-2024-23708	A-293301736	EoP	สูง	12, 12L, 13, 14

ระบบ

CVE	ข้อมูลอ้างอิง	ประเภท	ความรุนแรง	เวอร์ชัน AOSP ที่อัปเดตแล้ว
CVE-2024-23706	A-328068777	EoP	วิกฤต	14
CVE-2024-0043	A-295549388	EoP	สูง	12, 12L, 13, 14
CVE-2024-23707	A-316891059	EoP	สูง	14
CVE-2024-23709	A-317780080	รหัส	สูง	12, 12L, 13, 14

การอัปเดตระบบ Google Play

ปัญหาต่อไปนี้รวมอยู่ในคอมโพเนนต์ของ Project Mainline

องค์ประกอบย่อย	CVE
สุขภาพและการออกกำลังกาย	CVE-2024-23706
คอมโพเนนต์ของ Media Framework	CVE-2024-23709
ตัวควบคุมสิทธิ์	CVE-2024-0043

รายละเอียดช่องโหว่ระดับแพตช์ด้านความปลอดภัยวันที่ 05-05-2024

ในส่วนด้านล่าง เราจะให้รายละเอียดเกี่ยวกับช่องโหว่ด้านความปลอดภัยแต่ละรายการที่ใช้กับแพตช์ระดับ 2024-05-05 ระบบจะแบ่งประเภทช่องโหว่ตามคอมโพเนนต์ที่ได้รับผลกระทบ ปัญหาจะอธิบายไว้ในตารางด้านล่างและมีรหัส CVE, ข้อมูลอ้างอิงที่เกี่ยวข้อง, ประเภทของช่องโหว่, ความรุนแรง และเวอร์ชัน AOSP ที่อัปเดตแล้ว (หากมี) หากมี เราจะลิงก์การเปลี่ยนแปลงแบบสาธารณะที่แก้ไขปัญหาไปยังรหัสข้อบกพร่อง เช่น รายการการเปลี่ยนแปลงของ AOSP เมื่อการเปลี่ยนแปลงหลายรายการเกี่ยวข้องกับข้อบกพร่องเดียว ระบบจะลิงก์ข้อมูลอ้างอิงเพิ่มเติมกับหมายเลขที่ต่อท้ายรหัสข้อบกพร่อง

เคอร์เนล

ช่องโหว่ในส่วนนี้อาจนำไปสู่การเพิ่มสิทธิ์ในเคอร์เนลในเครื่องโดยไม่ต้องมีสิทธิ์การดำเนินการเพิ่มเติม

CVE	ข้อมูลอ้างอิง	ประเภท	ความรุนแรง	องค์ประกอบย่อย
CVE-2023-4622	A-299123598 เคอร์เนลต้นน้ำ [2] [3] [4]	EoP	สูง	Unix

LTS ของเคอร์เนล

เราได้อัปเดตเคอร์เนลเวอร์ชันต่อไปนี้แล้ว การอัปเดตเวอร์ชันเคอร์เนลจะขึ้นอยู่กับ เวอร์ชันของระบบปฏิบัติการ Android ในขณะที่เปิดตัวอุปกรณ์

ข้อมูลอ้างอิง	เวอร์ชันที่เปิดตัวของ Android	เวอร์ชันเปิดตัวของเคอร์เนล	เวอร์ชันการอัปเดตขั้นต่ำ
A-304554927	12	5.4	5.4.254
A-304560886	13	5.15	5.15.123
A-304560975	12	5.10	5.10.189
A-304560987	13	5.10	5.10.189
A-304561454	14	5.15	5.15.123
A-304561455	14	6.1	6.1.43

คอมโพเนนต์ของ Arm

ช่องโหว่เหล่านี้ส่งผลต่อคอมโพเนนต์ของ Arm และดูรายละเอียดเพิ่มเติมได้จาก Arm โดยตรง Arm เป็นผู้ประเมินความรุนแรงของปัญหาเหล่านี้โดยตรง

CVE	ข้อมูลอ้างอิง	ความรุนแรง	องค์ประกอบย่อย
CVE-2023-6363	A-303632069 *	สูง	มาลี
CVE-2024-1067	A-329506905 *	สูง	มาลี
CVE-2024-1395	A-329506991 *	สูง	มาลี

คอมโพเนนต์ของ MediaTek

ช่องโหว่เหล่านี้ส่งผลต่อคอมโพเนนต์ของ MediaTek และคุณสามารถดูรายละเอียดเพิ่มเติมได้จาก MediaTek โดยตรง การประเมินความรุนแรงของปัญหาเหล่านี้มาจาก MediaTek โดยตรง

CVE	ข้อมูลอ้างอิง	ความรุนแรง	องค์ประกอบย่อย
CVE-2023-32871	A-309364193 M-ALPS08355514 *	สูง	DA
CVE-2023-32873	A-327972597 M-ALPS08583919 *	สูง	keyInstall
CVE-2024-20056	A-327973818 M-ALPS08528185 *	สูง	ตัวโหลดล่วงหน้า
CVE-2024-20057	A-327973819 M-ALPS08587881 *	สูง	keyInstall

คอมโพเนนต์ของ Qualcomm

ช่องโหว่เหล่านี้ส่งผลกระทบต่อคอมโพเนนต์ของ Qualcomm และมีการอธิบายรายละเอียดเพิ่มเติมในกระดานข่าวสารด้านความปลอดภัยหรือการแจ้งเตือนความปลอดภัยที่เหมาะสมของ Qualcomm การประเมินความรุนแรงของปัญหาเหล่านี้มาจาก Qualcomm โดยตรง

CVE	ข้อมูลอ้างอิง	ความรุนแรง	องค์ประกอบย่อย
CVE-2024-21471	A-318393843 QC-CR#3621168	สูง	Display
CVE-2024-21475	A-323919078 QC-CR#3530093	สูง	วิดีโอ
CVE-2024-23351	A-323918714 QC-CR#3650447 [2]	สูง	Display
CVE-2024-23354	A-323919320 QC-CR#3636888 [2]	สูง	Display

คอมโพเนนต์ที่ไม่เปิดเผยรหัสต้นฉบับของ Qualcomm

ช่องโหว่เหล่านี้ส่งผลกระทบต่อคอมโพเนนต์แบบปิดของ Qualcomm และมีการอธิบายรายละเอียดเพิ่มเติมในกระดานข่าวสารด้านความปลอดภัยหรือการแจ้งเตือนความปลอดภัยที่เหมาะสมของ Qualcomm การประเมินความรุนแรงของปัญหาเหล่านี้มาจาก Qualcomm โดยตรง

CVE	ข้อมูลอ้างอิง	ความรุนแรง	องค์ประกอบย่อย
CVE-2023-33119	A-309461253 *	สูง	คอมโพเนนต์แบบปิด
CVE-2023-43529	A-309460466 *	สูง	คอมโพเนนต์แบบปิด
CVE-2023-43530	A-309461471 *	สูง	คอมโพเนนต์แบบปิด
CVE-2023-43531	A-309461198 *	สูง	คอมโพเนนต์แบบปิด
CVE-2024-21477	A-323918871 *	สูง	คอมโพเนนต์แบบปิด
CVE-2024-21480	A-323918475 *	สูง	คอมโพเนนต์แบบปิด

คำถามที่พบบ่อยและคำตอบ

ส่วนนี้จะตอบคำถามที่พบบ่อยซึ่งผู้ใช้อาจสงสัยหลังจากที่อ่านกระดานข่าวสารนี้

1. ฉันจะทราบได้อย่างไรว่าอุปกรณ์ได้รับการอัปเดตเพื่อแก้ไขปัญหาเหล่านี้แล้ว

ดูวิธีตรวจสอบระดับแพตช์ด้านความปลอดภัยของอุปกรณ์ได้ที่ตรวจสอบและอัปเดตเวอร์ชัน Android

ระดับแพตช์ความปลอดภัยของวันที่ 01-05-2024 หรือหลังจากนั้นจะแก้ไข ปัญหาทั้งหมดที่เกี่ยวข้องกับแพตช์ความปลอดภัยระดับ 01-05-2024
ระดับแพตช์ด้านความปลอดภัยของวันที่ 05-05-2024 หรือหลังจากนั้นจะแก้ไข ปัญหาทั้งหมดที่เกี่ยวข้องกับแพตช์ด้านความปลอดภัยระดับ 05-05-2024 และระดับแพตช์ก่อนหน้าทั้งหมด

ผู้ผลิตอุปกรณ์ที่รวมการอัปเดตเหล่านี้ควรตั้งค่าระดับสตริงแพตช์เป็น

[ro.build.version.security_patch]:[2024-05-01]
[ro.build.version.security_patch]:[2024-05-05]

สำหรับอุปกรณ์บางรุ่นที่ใช้ Android 10 ขึ้นไป การอัปเดตระบบ Google Play จะมีสตริงวันที่ที่ตรงกับระดับแพตช์ด้านความปลอดภัย 2024-05-01 โปรดดูรายละเอียดเพิ่มเติมเกี่ยวกับวิธีติดตั้ง การอัปเดตความปลอดภัยได้ในบทความนี้

2. ทำไมกระดานข่าวนี้จึงมีแพตช์ความปลอดภัย 2 ระดับ

ประกาศนี้มีแพตช์ด้านความปลอดภัย 2 ระดับเพื่อให้พาร์ทเนอร์ของ Android มี ความยืดหยุ่นในการแก้ไขช่องโหว่บางส่วนที่คล้ายกันในอุปกรณ์ Android ทั้งหมด ได้เร็วขึ้น เราขอแนะนำให้พาร์ทเนอร์ Android แก้ไขปัญหาทั้งหมด ในกระดานข่าวนี้และใช้ระดับแพตช์ด้านความปลอดภัยล่าสุด

อุปกรณ์ที่ใช้ระดับแพตช์ด้านความปลอดภัย 2024-05-01 ต้องรวมปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ด้านความปลอดภัยนั้น รวมถึง การแก้ไขปัญหาทั้งหมดที่รายงานในกระดานข่าวความปลอดภัยก่อนหน้า
อุปกรณ์ที่ใช้ระดับแพตช์ด้านความปลอดภัย 2024-05-05 หรือใหม่กว่าต้องมีแพตช์ที่เกี่ยวข้องทั้งหมดในกระดานข่าว ด้านความปลอดภัยนี้ (และก่อนหน้า)

เราขอแนะนำให้พาร์ทเนอร์รวมการแก้ไขปัญหาทั้งหมดที่กำลังดำเนินการไว้ในการอัปเดตครั้งเดียว

3. รายการในคอลัมน์ประเภทหมายถึงอะไร

รายการในคอลัมน์ประเภทของตารางรายละเอียดช่องโหว่ จะอ้างอิงการแยกประเภทช่องโหว่ด้านความปลอดภัย

ตัวย่อ	คำจำกัดความ
RCE	การดำเนินการกับโค้ดจากระยะไกล
EoP	การยกระดับสิทธิ์
ID	การเปิดเผยข้อมูล
DoS	การปฏิเสธการให้บริการ
ไม่มี	ไม่มีการแยกประเภท

4. รายการในคอลัมน์การอ้างอิงหมายถึงอะไร

รายการในคอลัมน์การอ้างอิงของตารางรายละเอียดช่องโหว่อาจมีคำนำหน้าที่ระบุองค์กรที่ค่าการอ้างอิงเป็นขององค์กรนั้น

คำนำหน้า	ข้อมูลอ้างอิง
A-	รหัสข้อบกพร่องของ Android
QC-	หมายเลขอ้างอิงของ Qualcomm
M-	หมายเลขอ้างอิงของ MediaTek
N-	หมายเลขอ้างอิงของ NVIDIA
B-	หมายเลขอ้างอิงของ Broadcom
U-	หมายเลขอ้างอิงของ UNISOC

5. เครื่องหมาย * ข้างรหัสข้อบกพร่องของ Android ในคอลัมน์การอ้างอิง หมายความว่าอย่างไร

ปัญหาที่ไม่ได้เผยแพร่ต่อสาธารณะจะมีเครื่องหมาย * อยู่ข้างรหัสอ้างอิงที่เกี่ยวข้อง โดยทั่วไปแล้ว การอัปเดตสำหรับปัญหานั้นจะอยู่ใน ไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Pixel ซึ่งมีให้บริการในเว็บไซต์ Google Developers

6. เหตุใดช่องโหว่ด้านความปลอดภัยจึงแยกออกเป็นประกาศนี้และ ประกาศด้านความปลอดภัยของอุปกรณ์/พาร์ทเนอร์ เช่น ประกาศของ Pixel

ช่องโหว่ด้านความปลอดภัยที่บันทึกไว้ในประกาศข่าวสารด้านความปลอดภัยนี้ ต้องประกาศระดับแพตช์ความปลอดภัยล่าสุดในอุปกรณ์ Android ไม่จำเป็นต้องมีช่องโหว่ด้านความปลอดภัยเพิ่มเติมที่บันทึกไว้ใน ประกาศข่าวสารด้านความปลอดภัยของอุปกรณ์/พาร์ทเนอร์เพื่อ ประกาศระดับแพตช์ด้านความปลอดภัย ผู้ผลิตอุปกรณ์ Android และชิปเซ็ต อาจเผยแพร่รายละเอียดช่องโหว่ด้านความปลอดภัยที่เฉพาะเจาะจงสำหรับผลิตภัณฑ์ของตนด้วย เช่น Google Huawei LGE Motorola Nokia หรือ Samsung

เวอร์ชัน

เวอร์ชัน	วันที่	หมายเหตุ
1.0	6 พฤษภาคม 2024	เผยแพร่ Bulletin แล้ว