กระดานข่าวสารด้านความปลอดภัยของ Android มีรายละเอียดช่องโหว่ด้านความปลอดภัยที่ส่งผลกระทบต่ออุปกรณ์ Android ระดับแพตช์ด้านความปลอดภัยของวันที่ 05-09-2024 ขึ้นไปจะแก้ไขปัญหาเหล่านี้ทั้งหมด ดูวิธีตรวจสอบระดับแพตช์ความปลอดภัยของอุปกรณ์ได้ที่ตรวจสอบและอัปเดตเวอร์ชัน Android
พาร์ทเนอร์ Android จะได้รับแจ้งปัญหาทั้งหมดอย่างน้อย 1 เดือนก่อนการเผยแพร่ เราจะเผยแพร่แพตช์ซอร์สโค้ดสำหรับปัญหาเหล่านี้ไปยังที่เก็บข้อมูลโครงการโอเพนซอร์ส Android (AOSP) ในอีก 48 ชั่วโมง เราจะแก้ไขกระดานข่าวสารนี้ด้วยลิงก์ AOSP เมื่อลิงก์ดังกล่าวพร้อมใช้งาน
ปัญหาที่ร้ายแรงที่สุดคือช่องโหว่ด้านความปลอดภัยระดับสูงในคอมโพเนนต์เฟรมเวิร์ก ซึ่งอาจนำไปสู่การเพิ่มสิทธิ์ระดับท้องถิ่นโดยไม่จำเป็นต้องมีสิทธิ์ดำเนินการเพิ่มเติม การประเมินความรุนแรงจะอิงตามผลกระทบที่การใช้ประโยชน์จากช่องโหว่อาจมีต่ออุปกรณ์ที่ได้รับผลกระทบ โดยสมมติว่ามีการปิดใช้มาตรการบรรเทาผลกระทบของแพลตฟอร์มและบริการเพื่อวัตถุประสงค์ในการพัฒนา หรือหากมีการหลบเลี่ยงมาตรการดังกล่าวได้
โปรดดูรายละเอียดเกี่ยวกับการป้องกันแพลตฟอร์มความปลอดภัยของ Android และ Google Play Protect ซึ่งช่วยปรับปรุงความปลอดภัยของแพลตฟอร์ม Android ได้ที่ส่วนการลดความเสี่ยงของ Android และ Google Play Protect
การลดผลกระทบต่อบริการ Android และ Google
ข้อมูลต่อไปนี้เป็นสรุปของมาตรการบรรเทาความเสี่ยงที่ได้จากแพลตฟอร์มความปลอดภัยของ Android และการปกป้องบริการ เช่น Google Play Protect ความสามารถเหล่านี้ช่วยลดแนวโน้มที่ช่องโหว่ด้านความปลอดภัยจะได้รับการแสวงหาประโยชน์ใน Android
- การหาช่องโหว่ของปัญหาต่างๆ ใน Android ทำได้ยากขึ้นเนื่องจากการปรับปรุงแพลตฟอร์ม Android เวอร์ชันใหม่ เราขอแนะนำให้ผู้ใช้ทุกคนอัปเดตเป็น Android เวอร์ชันล่าสุดหากเป็นไปได้
- ทีมรักษาความปลอดภัยของ Android คอยตรวจสอบการละเมิดผ่าน Google Play Protect และเตือนผู้ใช้เกี่ยวกับแอปพลิเคชันที่อาจเป็นอันตราย Google Play Protect จะเปิดใช้โดยค่าเริ่มต้นในอุปกรณ์ที่มี บริการของ Google Mobile และมีความสำคัญอย่างยิ่งสำหรับผู้ใช้ที่ติดตั้งแอปจากภายนอก Google Play
รายละเอียดช่องโหว่ระดับแพตช์ความปลอดภัยของวันที่ 01-09-2024
ในส่วนด้านล่างนี้ เรามีรายละเอียดของช่องโหว่ด้านความปลอดภัยแต่ละรายการที่มีผลกับระดับการอัปเดตวันที่ 01-09-2024 ระบบจะแบ่งประเภทช่องโหว่ตามคอมโพเนนต์ที่ได้รับผลกระทบ ปัญหาจะอธิบายไว้ในตารางด้านล่าง ซึ่งรวมถึงรหัส CVE, ข้อมูลอ้างอิงที่เกี่ยวข้อง, ประเภทของช่องโหว่, ความรุนแรง และเวอร์ชัน AOSP ที่อัปเดต (หากมี) เราจะลิงก์การเปลี่ยนแปลงสาธารณะที่แก้ไขปัญหากับรหัสข้อบกพร่อง (หากมี) เช่น รายการการเปลี่ยนแปลง AOSP เมื่อการเปลี่ยนแปลงหลายรายการเกี่ยวข้องกับข้อบกพร่องเดียว ระบบจะลิงก์ข้อมูลอ้างอิงเพิ่มเติมกับตัวเลขต่อจากรหัสข้อบกพร่อง อุปกรณ์ที่ใช้ Android 10 ขึ้นไปอาจได้รับการอัปเดตความปลอดภัย รวมถึงอัปเดตระบบ Google Play
เฟรมเวิร์ก
ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจนำไปสู่การเพิ่มสิทธิ์ในระดับเครื่องโดยไม่จำเป็นต้องมีสิทธิ์ดำเนินการเพิ่มเติม
| CVE | ข้อมูลอ้างอิง | ประเภท | ความรุนแรง | เวอร์ชัน AOSP ที่อัปเดตแล้ว |
|---|---|---|---|---|
| CVE-2024-32896 | A-324321147 [2] | EoP | สูง | 12, 12L, 13, 14 |
| CVE-2024-40658 | A-329641908 | EoP | สูง | 12, 12L, 13, 14 |
| CVE-2024-40662 | A-261721900 | EoP | สูง | 12, 12L, 13, 14 |
ระบบ
ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจนำไปสู่การเพิ่มสิทธิ์ในระดับเครื่องโดยไม่จำเป็นต้องมีสิทธิ์การเรียกใช้เพิ่มเติม
| CVE | ข้อมูลอ้างอิง | ประเภท | ความรุนแรง | เวอร์ชัน AOSP ที่อัปเดตแล้ว |
|---|---|---|---|---|
| CVE-2024-40650 | A-293199910 | EoP | สูง | 12, 12L, 13, 14 |
| CVE-2024-40652 | A-327749022 | EoP | สูง | 12, 12L, 13, 14 |
| CVE-2024-40654 | A-333364513 | EoP | สูง | 12, 12L, 13, 14 |
| CVE-2024-40655 | A-300904123 | EoP | สูง | 12, 12L, 13, 14 |
| CVE-2024-40657 | A-341886134 | EoP | สูง | 12, 12L, 13, 14 |
| CVE-2024-40656 | A-329058967 | รหัส | สูง | 12, 12L, 13, 14 |
| CVE-2024-40659 | A-336976105 | DoS | สูง | 14 |
การอัปเดตระบบ Google Play
ปัญหาต่อไปนี้รวมอยู่ในคอมโพเนนต์ Project Mainline
| คอมโพเนนต์ย่อย | CVE |
|---|---|
| การจัดสรรคีย์จากระยะไกล | CVE-2024-40659 |
รายละเอียดช่องโหว่ระดับแพตช์ความปลอดภัยของวันที่ 05-09-2024
ในส่วนด้านล่างนี้ เรามีรายละเอียดของช่องโหว่ด้านความปลอดภัยแต่ละรายการที่มีผลกับระดับการอัปเดตวันที่ 05-09-2024 ระบบจะแบ่งประเภทช่องโหว่ตามคอมโพเนนต์ที่ได้รับผลกระทบ ปัญหาจะอธิบายไว้ในตารางด้านล่าง รวมถึงรหัส CVE, ข้อมูลอ้างอิงที่เกี่ยวข้อง, ประเภทของช่องโหว่, ความรุนแรง และเวอร์ชัน AOSP ที่อัปเดตแล้ว (หากมี) เราจะลิงก์การเปลี่ยนแปลงสาธารณะที่แก้ไขปัญหากับรหัสข้อบกพร่อง (หากมี) เช่น รายการการเปลี่ยนแปลง AOSP เมื่อการเปลี่ยนแปลงหลายรายการเกี่ยวข้องกับข้อบกพร่องเดียว ระบบจะลิงก์ข้อมูลอ้างอิงเพิ่มเติมกับตัวเลขต่อจากรหัสข้อบกพร่อง
ฟองสบู่แตก
ช่องโหว่ในส่วนนี้อาจนำไปสู่การเพิ่มสิทธิ์ในเครื่องโดยไม่จำเป็นต้องมีสิทธิ์ดำเนินการเพิ่มเติม
| CVE | ข้อมูลอ้างอิง | ประเภท | ความรุนแรง | คอมโพเนนต์ย่อย |
|---|---|---|---|---|
| CVE-2024-36972 |
A-342490466 เคอร์เนลจาก upstream [2] [3] [4] [5] [6] |
EoP | สูง | สุทธิ |
คอมโพเนนต์ของแขน
ช่องโหว่นี้ส่งผลกระทบต่อคอมโพเนนต์ Arm และคุณดูรายละเอียดเพิ่มเติมได้จาก Arm โดยตรง การประเมินความรุนแรงของปัญหานี้มาจาก Arm โดยตรง
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | คอมโพเนนต์ย่อย |
|---|---|---|---|
| CVE-2024-3655 |
A-346629290 * | สูง | มาลี |
Imagination Technologies
ช่องโหว่เหล่านี้ส่งผลกระทบต่อคอมโพเนนต์ของ Imagination Technologies และคุณดูรายละเอียดเพิ่มเติมได้จาก Imagination Technologies โดยตรง การประเมินความรุนแรงของปัญหาเหล่านี้มาจาก Imagination Technologies โดยตรง
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | คอมโพเนนต์ย่อย |
|---|---|---|---|
| CVE-2024-23716 |
A-350535746 * | สูง | PowerVR-GPU |
| CVE-2024-31336 |
A-337949672 * | สูง | PowerVR-GPU |
คอมโพเนนต์ Unisoc
ช่องโหว่เหล่านี้ส่งผลกระทบต่อคอมโพเนนต์ Unisoc และคุณดูรายละเอียดเพิ่มเติมได้จาก Unisoc โดยตรง Unisoc จะเป็นผู้ประเมินความรุนแรงของปัญหาเหล่านี้โดยตรง
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | คอมโพเนนต์ย่อย |
|---|---|---|---|
| CVE-2024-39431 |
A-349917018 U-2638126 * |
สูง | โมเด็ม |
| CVE-2024-39432 |
A-349916584 U-2638173 * |
สูง | โมเด็ม |
คอมโพเนนต์ Qualcomm
ช่องโหว่เหล่านี้ส่งผลกระทบต่อคอมโพเนนต์ Qualcomm และมีการอธิบายไว้อย่างละเอียดในกระดานข่าวสารด้านความปลอดภัยหรือการแจ้งเตือนความปลอดภัยของ Qualcomm Qualcomm จะเป็นผู้ประเมินความรุนแรงของปัญหาเหล่านี้โดยตรง
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | คอมโพเนนต์ย่อย |
|---|---|---|---|
| CVE-2024-33042 |
A-344620519 QC-CR#3774878 |
วิกฤต | WLAN |
| CVE-2024-33052 |
A-344620630 QC-CR#3773240 |
วิกฤต | WLAN |
| CVE-2024-33034 |
A-350500940 QC-CR#3744850 |
สูง | จอแสดงผล |
| CVE-2024-33035 |
A-344620673 QC-CR#3734251 |
สูง | จอแสดงผล |
| CVE-2024-33038 |
A-344620773 QC-CR#3696086 |
สูง | กล้อง |
| CVE-2024-33043 |
A-344620433 QC-CR#3774849 |
สูง | WLAN |
| CVE-2024-33045 |
A-344620353 QC-CR#3745620 |
สูง | Bootloader |
| CVE-2024-33048 |
A-344620292 QC-CR#3704739 QC-CR#3707241 |
สูง | WLAN |
| CVE-2024-33050 |
A-344620238 QC-CR#3717568 |
สูง | WLAN |
| CVE-2024-33054 |
A-344620733 QC-CR#3667735 |
สูง | กล้อง |
| CVE-2024-33057 |
A-344620215 QC-CR#3699767 |
สูง | WLAN |
| CVE-2024-33060 |
A-350500584 QC-CR#3735984 [2] |
สูง | ฟองสบู่แตก |
คอมโพเนนต์แบบโคลสซอร์สของ Qualcomm
ช่องโหว่เหล่านี้ส่งผลกระทบต่อคอมโพเนนต์แบบซอร์สโค้ดปิดของ Qualcomm และมีการอธิบายไว้อย่างละเอียดในกระดานข่าวสารด้านความปลอดภัยหรือการแจ้งเตือนด้านความปลอดภัยของ Qualcomm ที่เกี่ยวข้อง Qualcomm จะเป็นผู้ประเมินความรุนแรงของปัญหาเหล่านี้โดยตรง
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | คอมโพเนนต์ย่อย |
|---|---|---|---|
| CVE-2024-23358 |
A-328083897 * | สูง | คอมโพเนนต์แบบโคลสซอร์ส |
| CVE-2024-23359 |
A-328083933 * | สูง | คอมโพเนนต์แบบโคลสซอร์ส |
| CVE-2024-23362 |
A-328084308 * | สูง | คอมโพเนนต์แบบโคลสซอร์ส |
| CVE-2024-23364 |
A-328083671 * | สูง | คอมโพเนนต์แบบโคลสซอร์ส |
| CVE-2024-23365 |
A-328083987 * | สูง | คอมโพเนนต์แบบโคลสซอร์ส |
| CVE-2024-33016 |
A-339043498 * | สูง | คอมโพเนนต์แบบโคลสซอร์ส |
| CVE-2024-33051 |
A-344620373 * | สูง | คอมโพเนนต์แบบโคลสซอร์ส |
คำถามที่พบบ่อยและคำตอบ
ส่วนนี้จะตอบคำถามที่พบบ่อยซึ่งผู้ใช้อาจสงสัยหลังจากที่อ่านกระดานข่าวสารนี้
1. ฉันจะทราบได้อย่างไรว่าอุปกรณ์ได้รับการอัปเดตเพื่อแก้ไขปัญหาเหล่านี้แล้ว
ดูวิธีตรวจสอบระดับแพตช์ความปลอดภัยของอุปกรณ์ได้ที่หัวข้อตรวจสอบและอัปเดตเวอร์ชัน Android
- ระดับแพตช์ความปลอดภัยของวันที่ 1-09-2024 ขึ้นไปจะแก้ไขปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัยของวันที่ 1-09-2024
- ระดับแพตช์ความปลอดภัยของวันที่ 05-09-2024 ขึ้นไปจะแก้ไขปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัยของวันที่ 05-09-2024 และระดับแพตช์ก่อนหน้าทั้งหมด
ผู้ผลิตอุปกรณ์ที่รวมการอัปเดตเหล่านี้ควรตั้งค่าระดับสตริงแพตช์เป็น
- [ro.build.version.security_patch]:[2024-09-01]
- [ro.build.version.security_patch]:[2024-09-05]
สำหรับอุปกรณ์บางรุ่นที่ใช้ Android 10 ขึ้นไป การอัปเดตระบบ Google Play จะมีสตริงวันที่ตรงกับระดับแพตช์ด้านความปลอดภัย 2024-09-01 โปรดดูรายละเอียดเพิ่มเติมเกี่ยวกับวิธีติดตั้งการอัปเดตความปลอดภัยในบทความนี้
2. เหตุใดกระดานข่าวสารนี้จึงมีระดับแพตช์ความปลอดภัย 2 ระดับ
กระดานข่าวสารนี้มีระดับแพตช์ความปลอดภัย 2 ระดับเพื่อให้พาร์ทเนอร์ Android มีความยืดหยุ่นในการแก้ไขช่องโหว่ชุดย่อยที่คล้ายกันในอุปกรณ์ Android ทั้งหมดได้เร็วขึ้น เราขอแนะนำให้พาร์ทเนอร์ Android แก้ไขปัญหาทั้งหมดในกระดานข่าวสารนี้และใช้แพตช์ความปลอดภัยระดับล่าสุด
- อุปกรณ์ที่ใช้ระดับแพตช์ความปลอดภัย 01-09-2024 ต้องมีรายงานปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัยนั้น รวมถึงการแก้ไขสำหรับปัญหาทั้งหมดที่รายงานในกระดานข่าวสารด้านความปลอดภัยฉบับก่อนหน้า
- อุปกรณ์ที่ใช้แพตช์ความปลอดภัยระดับ 2024-09-05 ขึ้นไปต้องมีแพตช์ที่เกี่ยวข้องทั้งหมดในกระดานข่าวสารด้านความปลอดภัยฉบับนี้ (และฉบับก่อนหน้า)
เราขอแนะนำให้พาร์ทเนอร์รวมการแก้ไขสำหรับปัญหาทั้งหมดที่แก้ไขไว้ในการอัปเดตครั้งเดียว
3. รายการในคอลัมน์ประเภทหมายถึงอะไร
รายการในคอลัมน์ประเภทของตารางรายละเอียดช่องโหว่จะอ้างอิงการแยกประเภทช่องโหว่ด้านความปลอดภัย
| ตัวย่อ | คำจำกัดความ |
|---|---|
| RCE | การดำเนินการกับโค้ดจากระยะไกล |
| EoP | การยกระดับสิทธิ์ |
| รหัส | การเปิดเผยข้อมูล |
| DoS | ปฏิเสธการให้บริการ |
| ไม่มี | ไม่มีการแยกประเภท |
4. รายการในคอลัมน์ข้อมูลอ้างอิงหมายถึงอะไร
รายการในคอลัมน์ข้อมูลอ้างอิงของตารางรายละเอียดช่องโหว่อาจมีคำนำหน้าระบุองค์กรที่เป็นเจ้าของค่าอ้างอิง
| คำนำหน้า | ข้อมูลอ้างอิง |
|---|---|
| A- | รหัสข้อบกพร่องของ Android |
| QC- | หมายเลขอ้างอิงของ Qualcomm |
| M- | หมายเลขอ้างอิง MediaTek |
| N- | หมายเลขอ้างอิงของ NVIDIA |
| B- | หมายเลขอ้างอิงของ Broadcom |
| U- | หมายเลขอ้างอิงของ UNISOC |
5. * ข้างรหัสข้อบกพร่อง Android ในคอลัมน์ข้อมูลอ้างอิงหมายความว่าอย่างไร
ปัญหาที่ไม่เผยแพร่ต่อสาธารณะจะมีเครื่องหมาย * ข้างรหัสอ้างอิงที่เกี่ยวข้อง การอัปเดตสำหรับปัญหาดังกล่าวมักจะอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Pixel ซึ่งดาวน์โหลดได้จากเว็บไซต์ของนักพัฒนาแอป Google
6. เหตุใดช่องโหว่ด้านความปลอดภัยจึงแยกระหว่างกระดานข่าวสารนี้กับกระดานข่าวสารด้านความปลอดภัยของอุปกรณ์ / พาร์ทเนอร์ เช่น กระดานข่าวสารของ Pixel
ช่องโหว่ด้านความปลอดภัยที่บันทึกไว้ในกระดานข่าวสารด้านความปลอดภัยนี้จำเป็นต้องประกาศระดับแพตช์ความปลอดภัยล่าสุดในอุปกรณ์ Android ช่องโหว่ด้านความปลอดภัยเพิ่มเติมที่บันทึกไว้ในกระดานข่าวสารด้านความปลอดภัยของอุปกรณ์ / พาร์ทเนอร์ไม่จําเป็นต่อการประกาศระดับแพตช์ความปลอดภัย ผู้ผลิตอุปกรณ์และชิปเซ็ต Android อาจเผยแพร่รายละเอียดช่องโหว่ด้านความปลอดภัยเฉพาะสำหรับผลิตภัณฑ์ของตนด้วย เช่น Huawei, LGE, Motorola, Nokia หรือ Samsung
เวอร์ชัน
| เวอร์ชัน | วันที่ | หมายเหตุ |
|---|---|---|
| 1.0 | 3 กันยายน 2024 | เผยแพร่กระดานข่าวสารแล้ว |