กระดานข่าวสารด้านความปลอดภัยของ Android มีรายละเอียดช่องโหว่ด้านความปลอดภัยที่ส่งผลกระทบต่ออุปกรณ์ Android ระดับแพตช์ด้านความปลอดภัย ตั้งแต่วันที่ 05-09-2024 เป็นต้นไปจะแก้ไขปัญหาทั้งหมดนี้ ดูวิธีตรวจสอบระดับแพตช์ด้านความปลอดภัยของอุปกรณ์ได้ที่ตรวจสอบและอัปเดตเวอร์ชัน Android
พาร์ทเนอร์ Android จะได้รับการแจ้งเตือนเกี่ยวกับปัญหาทั้งหมดอย่างน้อย 1 เดือน ก่อนการเผยแพร่ แพตช์ซอร์สโค้ดสำหรับปัญหาเหล่านี้จะเผยแพร่ไปยังที่เก็บของโครงการโอเพนซอร์ส Android (AOSP) ในอีก 48 ชั่วโมง เราจะแก้ไขประกาศนี้พร้อมลิงก์ AOSP เมื่อพร้อมใช้งาน
ปัญหาที่ร้ายแรงที่สุดคือช่องโหว่ด้านความปลอดภัยสูง ในคอมโพเนนต์ Framework ซึ่งอาจนำไปสู่การยกระดับสิทธิ์ในเครื่อง โดยไม่จำเป็นต้องมีสิทธิ์การดำเนินการเพิ่มเติม การประเมินความรุนแรงจะอิงตามผลกระทบที่การใช้ช่องโหว่อาจมีต่ออุปกรณ์ที่ได้รับผลกระทบ โดยสมมติว่ามีการปิดการลดความเสี่ยงของแพลตฟอร์มและบริการเพื่อวัตถุประสงค์ในการพัฒนา หรือหากมีการข้ามการลดความเสี่ยงดังกล่าวได้สำเร็จ
ดูรายละเอียดเกี่ยวกับการป้องกันแพลตฟอร์ม ความปลอดภัยของ Android และ Google Play Protect ซึ่งช่วยปรับปรุง ความปลอดภัยของแพลตฟอร์ม Android ได้ที่ส่วนการลดความเสี่ยงของ Android และ Google Play Protect
การลดความเสี่ยงของ Android และบริการของ Google
นี่คือสรุปการลดความเสี่ยงที่แพลตฟอร์ม ความปลอดภัยของ Android และการป้องกันบริการ เช่น Google Play Protect มอบให้ ความสามารถเหล่านี้ช่วยลดโอกาสที่ช่องโหว่ด้านความปลอดภัยจะถูกเจาะใน Android ได้สำเร็จ
- การปรับปรุงในแพลตฟอร์ม Android เวอร์ชันใหม่ๆ ทำให้การใช้ช่องโหว่สำหรับปัญหาหลายอย่างใน Android ทำได้ยากขึ้น เราขอแนะนำให้ผู้ใช้ทุกรายอัปเดตเป็น Android เวอร์ชันล่าสุดหากเป็นไปได้
- ทีมความปลอดภัยของ Android คอยตรวจสอบการละเมิดอย่างสม่ำเสมอ ผ่าน Google Play Protect และเตือน ผู้ใช้เกี่ยวกับแอปพลิเคชันที่อาจเป็นอันตราย Google Play Protect จะเปิดใช้โดยค่าเริ่มต้นในอุปกรณ์ที่มีบริการของ Google Mobile และมีความสำคัญอย่างยิ่งสำหรับผู้ใช้ที่ติดตั้งแอปจากภายนอก Google Play
รายละเอียดช่องโหว่ระดับแพตช์ด้านความปลอดภัย 2024-09-01
ในส่วนด้านล่างนี้ เราจะให้รายละเอียดเกี่ยวกับช่องโหว่ด้านความปลอดภัยแต่ละรายการที่ใช้กับแพตช์ระดับ 2024-09-01 ระบบจะแบ่งประเภทช่องโหว่ตามคอมโพเนนต์ที่ได้รับผลกระทบ ปัญหาจะอธิบายไว้ในตารางด้านล่างและมีรหัส CVE ข้อมูลอ้างอิงที่เกี่ยวข้อง ประเภทของ ช่องโหว่ ความรุนแรง และเวอร์ชัน AOSP ที่อัปเดตแล้ว (หากมี) เมื่อมีการเปลี่ยนแปลงแบบสาธารณะที่แก้ไขปัญหาแล้ว เราจะลิงก์การเปลี่ยนแปลงดังกล่าวกับรหัสข้อบกพร่อง เช่น รายการการเปลี่ยนแปลงของ AOSP เมื่อการเปลี่ยนแปลงหลายรายการเกี่ยวข้องกับข้อบกพร่องเดียว ระบบจะลิงก์ข้อมูลอ้างอิงเพิ่มเติม กับหมายเลขที่ต่อท้ายรหัสข้อบกพร่อง อุปกรณ์ ที่ใช้ Android 10 ขึ้นไปอาจได้รับการอัปเดตความปลอดภัยและการอัปเดตระบบ Google Play
Framework
ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้เกิด การเพิ่มสิทธิ์ในเครื่องโดยไม่ต้องมีสิทธิ์ การดำเนินการเพิ่มเติม
| CVE | ข้อมูลอ้างอิง | ประเภท | ความรุนแรง | เวอร์ชัน AOSP ที่อัปเดตแล้ว |
|---|---|---|---|---|
| CVE-2024-32896 | A-324321147 [2] | EoP | สูง | 12, 12L, 13, 14 |
| CVE-2024-40658 | A-329641908 | EoP | สูง | 12, 12L, 13, 14 |
| CVE-2024-40662 | A-261721900 | EoP | สูง | 12, 12L, 13, 14 |
ระบบ
ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้เกิด การเพิ่มสิทธิ์ในเครื่องโดยไม่ต้องมีสิทธิ์ การดำเนินการเพิ่มเติม
| CVE | ข้อมูลอ้างอิง | ประเภท | ความรุนแรง | เวอร์ชัน AOSP ที่อัปเดตแล้ว |
|---|---|---|---|---|
| CVE-2024-40650 | A-293199910 | EoP | สูง | 12, 12L, 13, 14 |
| CVE-2024-40652 | A-327749022 | EoP | สูง | 12, 12L, 13, 14 |
| CVE-2024-40654 | A-333364513 | EoP | สูง | 12, 12L, 13, 14 |
| CVE-2024-40655 | A-300904123 | EoP | สูง | 12, 12L, 13, 14 |
| CVE-2024-40657 | A-341886134 | EoP | สูง | 12, 12L, 13, 14 |
| CVE-2024-40656 | A-329058967 | รหัส | สูง | 12, 12L, 13, 14 |
| CVE-2024-40659 | A-336976105 | DoS | สูง | 14 |
การอัปเดตระบบ Google Play
ปัญหาต่อไปนี้รวมอยู่ในคอมโพเนนต์ของ Project Mainline
| องค์ประกอบย่อย | CVE |
|---|---|
| การจัดสรรคีย์จากระยะไกล | CVE-2024-40659 |
รายละเอียดช่องโหว่ระดับแพตช์ด้านความปลอดภัยวันที่ 05-09-2024
ในส่วนด้านล่างนี้ เราจะให้รายละเอียดเกี่ยวกับ ช่องโหว่ด้านความปลอดภัยแต่ละรายการที่ใช้กับแพตช์ระดับ 2024-09-05 ระบบจะแบ่งประเภทช่องโหว่ตามคอมโพเนนต์ที่ได้รับผลกระทบ ปัญหาจะอธิบายไว้ในตารางด้านล่างและมีรหัส CVE ข้อมูลอ้างอิงที่เกี่ยวข้อง ประเภทของ ช่องโหว่ ความรุนแรง และเวอร์ชัน AOSP ที่อัปเดตแล้ว (หากมี) เมื่อมีการเปลี่ยนแปลงแบบสาธารณะที่แก้ไขปัญหาแล้ว เราจะลิงก์การเปลี่ยนแปลงนั้นกับรหัสข้อบกพร่อง เช่น รายการการเปลี่ยนแปลงของ AOSP เมื่อการเปลี่ยนแปลงหลายรายการเกี่ยวข้องกับข้อบกพร่องเดียว ระบบจะลิงก์ข้อมูลอ้างอิงเพิ่มเติม กับหมายเลขที่ต่อท้ายรหัสข้อบกพร่อง
เคอร์เนล
ช่องโหว่ในส่วนนี้อาจนำไปสู่การเพิ่มสิทธิ์ในเครื่องโดยไม่ต้องมีสิทธิ์การดำเนินการเพิ่มเติม
| CVE | ข้อมูลอ้างอิง | ประเภท | ความรุนแรง | องค์ประกอบย่อย |
|---|---|---|---|---|
| CVE-2024-36972 |
A-342490466 เคอร์เนลต้นทาง [2] [3] [4] [5] [6] |
EoP | สูง | ตาข่าย |
คอมโพเนนต์ของ Arm
ช่องโหว่นี้ส่งผลต่อคอมโพเนนต์ของ Arm และดูรายละเอียดเพิ่มเติมได้จาก Arm โดยตรง การประเมินระดับความรุนแรงของปัญหานี้ มาจาก Arm โดยตรง
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | องค์ประกอบย่อย |
|---|---|---|---|
| CVE-2024-3655 |
A-346629290 * | สูง | มาลี |
Imagination Technologies
ช่องโหว่เหล่านี้ส่งผลต่อคอมโพเนนต์ของ Imagination Technologies และดูรายละเอียดเพิ่มเติมได้โดยตรงจาก Imagination Technologies การประเมินความรุนแรงของปัญหาเหล่านี้ มาจาก Imagination Technologies โดยตรง
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | องค์ประกอบย่อย |
|---|---|---|---|
| CVE-2024-23716 |
A-350535746 * | สูง | PowerVR-GPU |
| CVE-2024-31336 |
A-337949672 * | สูง | PowerVR-GPU |
คอมโพเนนต์ Unisoc
ช่องโหว่เหล่านี้ส่งผลต่อคอมโพเนนต์ของ Unisoc และคุณสามารถดูรายละเอียดเพิ่มเติมได้จาก Unisoc โดยตรง การประเมินความรุนแรง ของปัญหาเหล่านี้มาจาก Unisoc โดยตรง
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | องค์ประกอบย่อย |
|---|---|---|---|
| CVE-2024-39431 |
A-349917018 U-2638126 * |
สูง | โมเด็ม |
| CVE-2024-39432 |
A-349916584 U-2638173 * |
สูง | โมเด็ม |
คอมโพเนนต์ของ Qualcomm
ช่องโหว่เหล่านี้ส่งผลกระทบต่อคอมโพเนนต์ของ Qualcomm และมีการอธิบายรายละเอียดเพิ่มเติมในกระดานข่าวสารด้านความปลอดภัยหรือการแจ้งเตือนความปลอดภัยที่เหมาะสมของ Qualcomm การประเมินความรุนแรงของปัญหาเหล่านี้ มาจาก Qualcomm โดยตรง
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | องค์ประกอบย่อย |
|---|---|---|---|
| CVE-2024-33042 |
A-344620519 QC-CR#3774878 |
วิกฤต | WLAN |
| CVE-2024-33052 |
A-344620630 QC-CR#3773240 |
วิกฤต | WLAN |
| CVE-2024-33034 |
A-350500940 QC-CR#3744850 |
สูง | Display |
| CVE-2024-33035 |
A-344620673 QC-CR#3734251 |
สูง | Display |
| CVE-2024-33038 |
A-344620773 QC-CR#3696086 |
สูง | กล้อง |
| CVE-2024-33043 |
A-344620433 QC-CR#3774849 |
สูง | WLAN |
| CVE-2024-33045 |
A-344620353 QC-CR#3745620 |
สูง | Bootloader |
| CVE-2024-33048 |
A-344620292 QC-CR#3704739 QC-CR#3707241 |
สูง | WLAN |
| CVE-2024-33050 |
A-344620238 QC-CR#3717568 |
สูง | WLAN |
| CVE-2024-33054 |
A-344620733 QC-CR#3667735 |
สูง | กล้อง |
| CVE-2024-33057 |
A-344620215 QC-CR#3699767 |
สูง | WLAN |
| CVE-2024-33060 |
A-350500584 QC-CR#3735984 [2] |
สูง | เคอร์เนล |
คอมโพเนนต์ที่ไม่เปิดเผยรหัสต้นฉบับของ Qualcomm
ช่องโหว่เหล่านี้ส่งผลกระทบต่อคอมโพเนนต์แบบปิดของ Qualcomm และมีการอธิบายรายละเอียดเพิ่มเติมในกระดานข่าวสารด้านความปลอดภัยหรือการแจ้งเตือนความปลอดภัยที่เหมาะสมของ Qualcomm การประเมินความรุนแรงของปัญหาเหล่านี้มาจาก Qualcomm โดยตรง
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | องค์ประกอบย่อย |
|---|---|---|---|
| CVE-2024-23358 |
A-328083897 * | สูง | คอมโพเนนต์แบบปิด |
| CVE-2024-23359 |
A-328083933 * | สูง | คอมโพเนนต์แบบปิด |
| CVE-2024-23362 |
A-328084308 * | สูง | คอมโพเนนต์แบบปิด |
| CVE-2024-23364 |
A-328083671 * | สูง | คอมโพเนนต์แบบปิด |
| CVE-2024-23365 |
A-328083987 * | สูง | คอมโพเนนต์แบบปิด |
| CVE-2024-33016 |
A-339043498 * | สูง | คอมโพเนนต์แบบปิด |
| CVE-2024-33051 |
A-344620373 * | สูง | คอมโพเนนต์แบบปิด |
คำถามที่พบบ่อยและ คำตอบ
ส่วนนี้จะตอบคำถามที่พบบ่อยซึ่งผู้ใช้อาจสงสัยหลังจากที่อ่านกระดานข่าวสารนี้
1. ฉันจะทราบได้อย่างไรว่าอุปกรณ์ได้รับการอัปเดตเพื่อ แก้ไขปัญหาเหล่านี้แล้ว
ดูวิธีตรวจสอบระดับแพตช์ความปลอดภัยของอุปกรณ์ได้ที่ตรวจสอบและอัปเดตเวอร์ชัน Android
- ระดับแพตช์ความปลอดภัยตั้งแต่ 2024-09-01 เป็นต้นไปจะแก้ไขปัญหาทั้งหมด ที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัย 2024-09-01
- ระดับแพตช์ด้านความปลอดภัยของวันที่ 2024-09-05 หรือหลังจากนั้นจะแก้ไขปัญหาทั้งหมด ที่เกี่ยวข้องกับระดับแพตช์ด้านความปลอดภัยของวันที่ 2024-09-05 และ ระดับแพตช์ก่อนหน้าทั้งหมด
ผู้ผลิตอุปกรณ์ที่รวมการอัปเดตเหล่านี้ควรตั้งค่า ระดับสตริงแพตช์เป็น
- [ro.build.version.security_patch]:[2024-09-01]
- [ro.build.version.security_patch]:[2024-09-05]
สำหรับอุปกรณ์บางรุ่นใน Android 10 ขึ้นไป การอัปเดตระบบ Google Play จะมีสตริงวันที่ที่ตรงกับระดับแพตช์ด้านความปลอดภัย 2024-09-01 โปรดดูรายละเอียดเพิ่มเติมเกี่ยวกับวิธีติดตั้งการอัปเดตความปลอดภัยในบทความนี้
2. ทำไมกระดานข่าวนี้จึงมีแพตช์ความปลอดภัย 2 ระดับ
กระดานข่าวนี้มีแพตช์ด้านความปลอดภัย 2 ระดับเพื่อให้พาร์ทเนอร์ของ Android สามารถแก้ไขช่องโหว่บางส่วน ที่คล้ายกันในอุปกรณ์ Android ทั้งหมดได้อย่างรวดเร็ว เราขอแนะนำให้พาร์ทเนอร์ Android แก้ไขปัญหาทั้งหมดในประกาศนี้และ ใช้ระดับแพตช์ด้านความปลอดภัยล่าสุด
- อุปกรณ์ที่ใช้ระดับแพตช์ด้านความปลอดภัย 2024-09-01 ต้อง รวมปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ด้านความปลอดภัยนั้น รวมถึงการแก้ไขปัญหาทั้งหมดที่รายงานในกระดานข่าวความปลอดภัยก่อนหน้า
- อุปกรณ์ที่ใช้ระดับแพตช์ด้านความปลอดภัย 2024-09-05 หรือใหม่กว่า ต้องมีแพตช์ที่เกี่ยวข้องทั้งหมดในกระดานข่าวความปลอดภัยนี้ (และกระดานข่าวความปลอดภัยก่อนหน้า)
เราขอแนะนำให้พาร์ทเนอร์รวมการแก้ไขปัญหาทั้งหมด ที่พาร์ทเนอร์กำลังดำเนินการไว้ในการอัปเดตครั้งเดียว
3. รายการในคอลัมน์ประเภทหมายถึงอะไร
รายการในคอลัมน์ประเภทของตารางรายละเอียดช่องโหว่จะอ้างอิงการแยกประเภทช่องโหว่ด้านความปลอดภัย
| ตัวย่อ | คำจำกัดความ |
|---|---|
| RCE | การดำเนินการกับโค้ดจากระยะไกล |
| EoP | การยกระดับสิทธิ์ |
| ID | การเปิดเผยข้อมูล |
| DoS | การปฏิเสธการให้บริการ |
| ไม่มี | ไม่มีการแยกประเภท |
4. รายการในคอลัมน์ข้อมูลอ้างอิง หมายถึงอะไร
รายการในคอลัมน์การอ้างอิงของตารางรายละเอียดช่องโหว่อาจมีคำนำหน้าที่ระบุองค์กรที่ค่าอ้างอิงเป็นของ
| คำนำหน้า | ข้อมูลอ้างอิง |
|---|---|
| A- | รหัสข้อบกพร่องของ Android |
| QC- | หมายเลขอ้างอิงของ Qualcomm |
| M- | หมายเลขอ้างอิงของ MediaTek |
| N- | หมายเลขอ้างอิงของ NVIDIA |
| B- | หมายเลขอ้างอิงของ Broadcom |
| U- | หมายเลขอ้างอิงของ UNISOC |
5. เครื่องหมาย * ข้างรหัสข้อบกพร่องของ Android ในคอลัมน์การอ้างอิงหมายความว่าอย่างไร
ปัญหาที่ไม่ได้เผยแพร่ต่อสาธารณะจะมีเครื่องหมาย * อยู่ข้างรหัสอ้างอิงที่เกี่ยวข้อง โดยปกติแล้ว การอัปเดตสำหรับปัญหานั้นจะรวมอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Pixel ซึ่งมีให้บริการในเว็บไซต์ Google Developers
6. เหตุใดช่องโหว่ด้านความปลอดภัยจึงแยกออกเป็นประกาศนี้ และประกาศด้านความปลอดภัยของอุปกรณ์ / พาร์ทเนอร์ เช่น ประกาศของ Pixel
ช่องโหว่ด้านความปลอดภัยที่บันทึกไว้ในประกาศข่าวสารด้านความปลอดภัยนี้ กำหนดให้ต้องประกาศระดับแพตช์ด้านความปลอดภัยล่าสุด ในอุปกรณ์ Android ช่องโหว่ด้านความปลอดภัยเพิ่มเติมที่ บันทึกไว้ในประกาศข่าวสารด้านความปลอดภัยของอุปกรณ์ / พาร์ทเนอร์ไม่จำเป็น ต้องประกาศระดับแพตช์ด้านความปลอดภัย ผู้ผลิตอุปกรณ์ Android และชิปเซ็ตอาจเผยแพร่รายละเอียดช่องโหว่ด้านความปลอดภัยที่เฉพาะเจาะจงสำหรับผลิตภัณฑ์ของตนด้วย เช่น Huawei, LGE, Motorola, Nokia หรือ Samsung
เวอร์ชัน
| เวอร์ชัน | วันที่ | หมายเหตุ |
|---|---|---|
| 1.0 | 3 กันยายน 2024 | เผยแพร่ Bulletin แล้ว |