กระดานข่าวสารด้านความปลอดภัยของ Android มีรายละเอียดช่องโหว่ด้านความปลอดภัยที่ส่งผลกระทบต่ออุปกรณ์ Android ระดับแพตช์ด้านความปลอดภัย ของวันที่ 2024-06-05 หรือหลังจากนั้นจะแก้ไขปัญหาทั้งหมดเหล่านี้ ดูวิธีตรวจสอบระดับแพตช์ด้านความปลอดภัยของอุปกรณ์ได้ที่ตรวจสอบและอัปเดตเวอร์ชัน Android
พาร์ทเนอร์ Android จะได้รับการแจ้งเตือนเกี่ยวกับปัญหาทั้งหมดอย่างน้อย 1 เดือน ก่อนการเผยแพร่ แพตช์ซอร์สโค้ดสำหรับปัญหาเหล่านี้จะเผยแพร่ไปยังที่เก็บของโครงการโอเพนซอร์ส Android (AOSP) ในอีก 48 ชั่วโมง เราจะแก้ไขประกาศนี้พร้อมลิงก์ AOSP เมื่อพร้อมใช้งาน
ปัญหาที่ร้ายแรงที่สุดคือช่องโหว่ด้านความปลอดภัยสูง ในคอมโพเนนต์ของระบบ ซึ่งอาจนำไปสู่การยกระดับสิทธิ์ในเครื่อง โดยไม่จำเป็นต้องมีสิทธิ์ในการดำเนินการเพิ่มเติม การประเมินความรุนแรงจะอิงตามผลกระทบที่การใช้ช่องโหว่อาจมีต่ออุปกรณ์ที่ได้รับผลกระทบ โดยสมมติว่ามีการปิดการลดความเสี่ยงของแพลตฟอร์มและบริการเพื่อวัตถุประสงค์ในการพัฒนา หรือหากมีการข้ามการลดความเสี่ยงดังกล่าวได้สำเร็จ
ดูรายละเอียดเกี่ยวกับการป้องกันแพลตฟอร์ม ความปลอดภัยของ Android และ Google Play Protect ซึ่งช่วยปรับปรุง ความปลอดภัยของแพลตฟอร์ม Android ได้ที่ส่วนการลดความเสี่ยงของ Android และ Google Play Protect
การลดความเสี่ยงของ Android และบริการของ Google
นี่คือสรุปการลดความเสี่ยงที่แพลตฟอร์ม ความปลอดภัยของ Android และการป้องกันบริการ เช่น Google Play Protect มอบให้ ความสามารถเหล่านี้ช่วยลดโอกาสที่ช่องโหว่ด้านความปลอดภัยจะถูกเจาะใน Android ได้สำเร็จ
- การปรับปรุงในแพลตฟอร์ม Android เวอร์ชันใหม่ทำให้การหาช่องโหว่สำหรับปัญหาหลายอย่างใน Android ทำได้ยากขึ้น เราขอแนะนำให้ผู้ใช้ทุกรายอัปเดตเป็น Android เวอร์ชันล่าสุดหากเป็นไปได้
- ทีมความปลอดภัยของ Android คอยตรวจสอบการละเมิดอย่างสม่ำเสมอ ผ่าน Google Play Protect และเตือน ผู้ใช้เกี่ยวกับแอปพลิเคชันที่อาจเป็นอันตราย Google Play Protect จะเปิดใช้โดยค่าเริ่มต้นในอุปกรณ์ที่มีบริการของ Google Mobile และมีความสำคัญอย่างยิ่งสำหรับผู้ใช้ที่ติดตั้งแอปจากภายนอก Google Play
รายละเอียดช่องโหว่ระดับแพตช์ด้านความปลอดภัย 2024-06-01
ในส่วนด้านล่างนี้ เราจะให้รายละเอียดเกี่ยวกับ ช่องโหว่ด้านความปลอดภัยแต่ละรายการที่ใช้กับแพตช์ระดับ 2024-06-01 ระบบจะแบ่งประเภทช่องโหว่ตามคอมโพเนนต์ที่ได้รับผลกระทบ ปัญหาจะอธิบายไว้ในตารางด้านล่างและมีรหัส CVE ข้อมูลอ้างอิงที่เกี่ยวข้อง ประเภทของ ช่องโหว่ ความรุนแรง และเวอร์ชัน AOSP ที่อัปเดตแล้ว (หากมี) เมื่อมีการเปลี่ยนแปลงแบบสาธารณะที่แก้ไขปัญหาแล้ว เราจะลิงก์การเปลี่ยนแปลงนั้นกับรหัสข้อบกพร่อง เช่น รายการการเปลี่ยนแปลงของ AOSP เมื่อการเปลี่ยนแปลงหลายรายการเกี่ยวข้องกับข้อบกพร่องเดียว ระบบจะลิงก์ข้อมูลอ้างอิงเพิ่มเติม กับหมายเลขที่ต่อท้ายรหัสข้อบกพร่อง อุปกรณ์ ที่ใช้ Android 10 ขึ้นไปอาจได้รับการอัปเดตความปลอดภัยและการอัปเดตระบบ Google Play
Framework
ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้เกิดการเพิ่มสิทธิ์ในเครื่องโดยไม่ต้องมีสิทธิ์การดำเนินการเพิ่มเติม
| CVE | ข้อมูลอ้างอิง | ประเภท | ความรุนแรง | เวอร์ชัน AOSP ที่อัปเดตแล้ว |
|---|---|---|---|---|
| CVE-2023-21266 | A-223376078 | EoP | สูง | 12, 12L, 13 |
| CVE-2024-31310 | A-324874908 | EoP | สูง | 12, 12L, 13, 14 |
| CVE-2024-31316 | A-321941232 | EoP | สูง | 12, 12L, 13, 14 |
| CVE-2024-31317 | A-316153291 | EoP | สูง | 12, 12L, 13, 14 |
| CVE-2024-31318 | A-313428840 | EoP | สูง | 12, 12L, 13, 14 |
| CVE-2024-31319 | A-317357401 | EoP | สูง | 12, 12L, 13, 14 |
| CVE-2024-31322 | A-326485767 | EoP | สูง | 12, 12L, 13, 14 |
| CVE-2024-31324 | A-302431573 | EoP | สูง | 12, 12L, 13, 14 |
| CVE-2024-31325 | A-317503801 | EoP | สูง | 12, 12L, 13, 14 |
| CVE-2024-31326 | A-318497672 [2] | EoP | สูง | 14 |
| CVE-2024-31312 | A-314333719 | รหัส | สูง | 12, 12L, 13, 14 |
| CVE-2024-31314 | A-304290201 | DoS | สูง | 12, 12L, 13, 14 |
ระบบ
ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้เกิดการเพิ่มสิทธิ์ในเครื่องโดยไม่ต้องมีสิทธิ์การดำเนินการเพิ่มเติม
| CVE | ข้อมูลอ้างอิง | ประเภท | ความรุนแรง | เวอร์ชัน AOSP ที่อัปเดตแล้ว |
|---|---|---|---|---|
| CVE-2023-21113 | A-267231571 [2] [3] | EoP | สูง | 12, 12L, 13 |
| CVE-2023-21114 | A-272106880 [2] [3] | EoP | สูง | 13 |
| CVE-2024-31311 | A-330054251 | EoP | สูง | 12, 12L, 13, 14 |
| CVE-2024-31313 | A-321341508 | EoP | สูง | 12, 12L, 13, 14 |
| CVE-2024-31315 | A-321707289 | EoP | สูง | 12, 12L, 13, 14 |
| CVE-2024-31323 | A-313425281 | EoP | สูง | 14 |
| CVE-2024-31327 | A-321326147 | EoP | สูง | 12, 12L, 13, 14 |
การอัปเดตระบบ Google Play
ปัญหาต่อไปนี้รวมอยู่ในคอมโพเนนต์ของ Project Mainline
| องค์ประกอบย่อย | CVE |
|---|---|
| สุขภาพและการออกกำลังกาย | CVE-2024-31323 |
| Statsd | CVE-2024-31311 |
| Wi-Fi | CVE-2023-21114 |
รายละเอียดช่องโหว่ระดับแพตช์ด้านความปลอดภัยวันที่ 05-06-2024
ในส่วนด้านล่างนี้ เราจะให้รายละเอียดเกี่ยวกับ ช่องโหว่ด้านความปลอดภัยแต่ละรายการที่ใช้กับแพตช์ระดับ 2024-06-05 ระบบจะแบ่งประเภทช่องโหว่ตามคอมโพเนนต์ที่ได้รับผลกระทบ ปัญหาจะอธิบายไว้ในตารางด้านล่างและมีรหัส CVE ข้อมูลอ้างอิงที่เกี่ยวข้อง ประเภทของ ช่องโหว่ ความรุนแรง และเวอร์ชัน AOSP ที่อัปเดตแล้ว (หากมี) เมื่อมีการเปลี่ยนแปลงแบบสาธารณะที่แก้ไขปัญหาแล้ว เราจะลิงก์การเปลี่ยนแปลงนั้นกับรหัสข้อบกพร่อง เช่น รายการการเปลี่ยนแปลงของ AOSP เมื่อการเปลี่ยนแปลงหลายรายการเกี่ยวข้องกับข้อบกพร่องเดียว ระบบจะลิงก์ข้อมูลอ้างอิงเพิ่มเติม กับหมายเลขที่ต่อท้ายรหัสข้อบกพร่อง
เคอร์เนล
ช่องโหว่ในส่วนนี้ อาจทำให้เกิดการเพิ่มสิทธิ์ในเครื่องในเคอร์เนลโดยไม่ต้อง มีสิทธิ์การดำเนินการเพิ่มเติม
| CVE | ข้อมูลอ้างอิง | ประเภท | ความรุนแรง | องค์ประกอบย่อย |
|---|---|---|---|---|
| CVE-2024-26926 |
A-320661088 เคอร์เนลต้นน้ำ [2] |
EoP | สูง | เครื่องเย็บเล่ม |
คอมโพเนนต์ของ Arm
ช่องโหว่เหล่านี้ส่งผลต่อคอมโพเนนต์ของ Arm และดูรายละเอียดเพิ่มเติมได้จาก Arm โดยตรง การประเมินความรุนแรง ของปัญหาเหล่านี้มาจาก Arm โดยตรง
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | องค์ประกอบย่อย |
|---|---|---|---|
| CVE-2024-0671 |
A-329094549 * | สูง | มาลี |
| CVE-2024-1065 |
A-329096276 * | สูง | มาลี |
Imagination Technologies
ช่องโหว่เหล่านี้ส่งผลต่อคอมโพเนนต์ของ Imagination Technologies และดูรายละเอียดเพิ่มเติมได้โดยตรงจาก Imagination Technologies การประเมินความรุนแรงของปัญหาเหล่านี้ มาจาก Imagination Technologies โดยตรง
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | องค์ประกอบย่อย |
|---|---|---|---|
| CVE-2024-23695 |
A-331245718 * | สูง | PowerVR-GPU |
| CVE-2024-23696 |
A-331244771 * | สูง | PowerVR-GPU |
| CVE-2024-23697 |
A-331245500 * | สูง | PowerVR-GPU |
| CVE-2024-23698 |
A-331239675 * | สูง | PowerVR-GPU |
| CVE-2024-23711 |
A-332571891 * | สูง | PowerVR-GPU |
คอมโพเนนต์ของ MediaTek
ช่องโหว่เหล่านี้ส่งผลต่อคอมโพเนนต์ของ MediaTek และดูรายละเอียดเพิ่มเติมได้จาก MediaTek โดยตรง การประเมินความรุนแรง ของปัญหาเหล่านี้มาจาก MediaTek โดยตรง
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | องค์ประกอบย่อย |
|---|---|---|---|
| CVE-2024-20065 |
A-332178746 M-ALPS08698617 * |
สูง | โทรศัพท์ |
| CVE-2024-20069 |
A-332178751 M-MOLY01286330 * |
สูง | โมเด็ม |
| CVE-2024-20066 |
A-332001819 M-MOLY01267281 * |
สูง | โมเด็ม |
| CVE-2024-20067 |
A-332186387 M-MOLY01267285 * |
สูง | โมเด็ม |
| CVE-2024-20068 |
A-332178749 M-MOLY01270721 * |
สูง | โมเด็ม |
คอมโพเนนต์ที่ไม่เปิดเผยรหัสต้นฉบับของ Qualcomm
ช่องโหว่เหล่านี้ส่งผลกระทบต่อคอมโพเนนต์แบบปิดของ Qualcomm และมีการอธิบายรายละเอียดเพิ่มเติมในกระดานข่าวสารด้านความปลอดภัยหรือการแจ้งเตือนความปลอดภัยที่เหมาะสมของ Qualcomm การประเมินความรุนแรงของปัญหาเหล่านี้มาจาก Qualcomm โดยตรง
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | องค์ประกอบย่อย |
|---|---|---|---|
| CVE-2023-43538 |
A-314791539 * | วิกฤต | คอมโพเนนต์แบบปิด |
| CVE-2023-43551 |
A-314791442 * | วิกฤต | คอมโพเนนต์แบบปิด |
| CVE-2023-43556 |
A-314791052 * | วิกฤต | คอมโพเนนต์แบบปิด |
| CVE-2023-43542 |
A-314790691 * | สูง | คอมโพเนนต์แบบปิด |
| CVE-2024-23363 |
A-328084351 * | สูง | คอมโพเนนต์แบบปิด |
คำถามที่พบบ่อยและ คำตอบ
ส่วนนี้จะตอบคำถามที่พบบ่อยซึ่งผู้ใช้อาจสงสัยหลังจากที่อ่านกระดานข่าวสารนี้
1. ฉันจะทราบได้อย่างไรว่าอุปกรณ์ได้รับการอัปเดตเพื่อ แก้ไขปัญหาเหล่านี้แล้ว
ดูวิธีตรวจสอบระดับแพตช์ด้านความปลอดภัยของอุปกรณ์ได้ที่ ตรวจสอบและอัปเดตเวอร์ชัน Android
- ระดับแพตช์ความปลอดภัยตั้งแต่ 2024-06-01 เป็นต้นไปจะแก้ไขปัญหาทั้งหมด ที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัย 2024-06-01
- ระดับแพตช์ด้านความปลอดภัยของวันที่ 2024-06-05 หรือหลังจากนั้นจะแก้ไขปัญหาทั้งหมด ที่เกี่ยวข้องกับระดับแพตช์ด้านความปลอดภัยของวันที่ 2024-06-05 และ ระดับแพตช์ก่อนหน้าทั้งหมด
ผู้ผลิตอุปกรณ์ที่รวมการอัปเดตเหล่านี้ควรตั้งค่า ระดับสตริงแพตช์เป็น
- [ro.build.version.security_patch]:[2024-06-01]
- [ro.build.version.security_patch]:[2024-06-05]
สำหรับอุปกรณ์บางรุ่นที่ใช้ Android 10 ขึ้นไป การอัปเดตระบบ Google Play จะมีสตริงวันที่ที่ตรงกับระดับแพตช์ด้านความปลอดภัย 2024-06-01 โปรดดูรายละเอียดเพิ่มเติมเกี่ยวกับวิธีติดตั้งการอัปเดตความปลอดภัยในบทความนี้
2. ทำไมจดหมายข่าวนี้จึงมีแพตช์ความปลอดภัย 2 ระดับ
กระดานข่าวนี้มีแพตช์ด้านความปลอดภัย 2 ระดับเพื่อให้พาร์ทเนอร์ของ Android สามารถแก้ไขช่องโหว่บางส่วน ที่คล้ายกันในอุปกรณ์ Android ทั้งหมดได้อย่างรวดเร็ว เราขอแนะนำให้พาร์ทเนอร์ Android แก้ไขปัญหาทั้งหมดในประกาศนี้และ ใช้ระดับแพตช์ด้านความปลอดภัยล่าสุด
- อุปกรณ์ที่ใช้ระดับแพตช์ด้านความปลอดภัย 2024-06-01 ต้อง รวมปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ด้านความปลอดภัยนั้น รวมถึงการแก้ไขปัญหาทั้งหมดที่รายงานในกระดานข่าวความปลอดภัยก่อนหน้า
- อุปกรณ์ที่ใช้ระดับแพตช์ด้านความปลอดภัย 2024-06-05 หรือใหม่กว่าต้องมีแพตช์ที่เกี่ยวข้องทั้งหมดในกระดานข่าวความปลอดภัยนี้ (และกระดานข่าวความปลอดภัยก่อนหน้า)
เราขอแนะนำให้พาร์ทเนอร์รวมการแก้ไขปัญหาทั้งหมด ที่พาร์ทเนอร์กำลังดำเนินการไว้ในการอัปเดตครั้งเดียว
3. รายการในคอลัมน์ประเภทหมายถึงอะไร
รายการในคอลัมน์ประเภทของตารางรายละเอียดช่องโหว่จะอ้างอิงการแยกประเภทช่องโหว่ด้านความปลอดภัย
| ตัวย่อ | คำจำกัดความ |
|---|---|
| RCE | การดำเนินการกับโค้ดจากระยะไกล |
| EoP | การยกระดับสิทธิ์ |
| ID | การเปิดเผยข้อมูล |
| DoS | การปฏิเสธการให้บริการ |
| ไม่มี | ไม่มีการแยกประเภท |
4. รายการในคอลัมน์ข้อมูลอ้างอิง หมายถึงอะไร
รายการในคอลัมน์การอ้างอิงของตารางรายละเอียดช่องโหว่อาจมีคำนำหน้าที่ระบุองค์กรที่ค่าอ้างอิงเป็นของ
| คำนำหน้า | ข้อมูลอ้างอิง |
|---|---|
| A- | รหัสข้อบกพร่องของ Android |
| QC- | หมายเลขอ้างอิงของ Qualcomm |
| M- | หมายเลขอ้างอิงของ MediaTek |
| N- | หมายเลขอ้างอิงของ NVIDIA |
| B- | หมายเลขอ้างอิงของ Broadcom |
| U- | หมายเลขอ้างอิงของ UNISOC |
5. เครื่องหมาย * ข้างรหัสข้อบกพร่องของ Android ในคอลัมน์การอ้างอิงหมายความว่าอย่างไร
ปัญหาที่ไม่ได้เผยแพร่ต่อสาธารณะจะมีเครื่องหมาย * อยู่ข้างรหัสอ้างอิงที่เกี่ยวข้อง โดยปกติแล้ว การอัปเดตสำหรับปัญหานั้นจะรวมอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Pixel ซึ่งมีให้บริการในเว็บไซต์ Google Developers
6. เหตุใดช่องโหว่ด้านความปลอดภัยจึงแยกออกเป็นประกาศนี้ และประกาศด้านความปลอดภัยของอุปกรณ์ / พาร์ทเนอร์ เช่น ประกาศของ Pixel
ช่องโหว่ด้านความปลอดภัยที่บันทึกไว้ในประกาศข่าวสารด้านความปลอดภัยนี้ กำหนดให้ต้องประกาศระดับแพตช์ด้านความปลอดภัยล่าสุด ในอุปกรณ์ Android ช่องโหว่ด้านความปลอดภัยเพิ่มเติมที่ บันทึกไว้ในประกาศข่าวสารด้านความปลอดภัยของอุปกรณ์ / พาร์ทเนอร์ไม่จำเป็น ต้องประกาศระดับแพตช์ด้านความปลอดภัย ผู้ผลิตอุปกรณ์ Android และชิปเซ็ตอาจเผยแพร่รายละเอียดช่องโหว่ด้านความปลอดภัยที่เฉพาะเจาะจงสำหรับผลิตภัณฑ์ของตนด้วย เช่น Google, Huawei, LGE, Motorola, Nokia หรือ Samsung
เวอร์ชัน
| เวอร์ชัน | วันที่ | หมายเหตุ |
|---|---|---|
| 1.0 | 3 มิถุนายน 2024 | เผยแพร่ Bulletin แล้ว |