ประกาศข่าวสารด้านความปลอดภัยของ Android มีรายละเอียดของช่องโหว่ด้านความปลอดภัย ที่ส่งผลกระทบต่ออุปกรณ์ Android ระดับแพตช์ด้านความปลอดภัย ของวันที่ 05-12-2024 ขึ้นไปจะแก้ไขปัญหาทั้งหมดเหล่านี้ ดูวิธีตรวจสอบระดับแพตช์ด้านความปลอดภัยของอุปกรณ์ได้ที่ตรวจสอบและอัปเดตเวอร์ชัน Android
เราจะแจ้งให้พาร์ทเนอร์ Android ทราบถึงปัญหาทั้งหมดอย่างน้อย 1 เดือน ก่อนเผยแพร่ แพตช์ซอร์สโค้ดสำหรับปัญหาเหล่านี้ได้รับการเผยแพร่ไปยังที่เก็บของโครงการโอเพนซอร์ส Android (AOSP) และลิงก์จากประกาศข่าวสารนี้ นอกจากนี้ ประกาศข่าวสารนี้ยังมีลิงก์ไปยังแพตช์ภายนอก AOSP ด้วย
ปัญหาที่รุนแรงที่สุดคือช่องโหว่ด้านความปลอดภัยระดับสูง ในคอมโพเนนต์ระบบ ซึ่งอาจนำไปสู่การเรียกใช้โค้ดจากระยะไกล โดยไม่จำเป็นต้องมีสิทธิ์การดำเนินการเพิ่มเติม การประเมินความรุนแรงจะอิงตามผลกระทบ ที่การใช้ประโยชน์จากช่องโหว่อาจมีต่อ อุปกรณ์ที่ได้รับผลกระทบ โดยสมมติว่าการบรรเทาผลกระทบของแพลตฟอร์มและบริการ ปิดอยู่เพื่อวัตถุประสงค์ในการพัฒนาหรือหากมีการ ข้ามการบรรเทาผลกระทบได้สำเร็จ
โปรดดูรายละเอียดเกี่ยวกับการป้องกันแพลตฟอร์มด้านความปลอดภัยของ Android และ Google Play Protect ซึ่งช่วยปรับปรุง ความปลอดภัยของแพลตฟอร์ม Android ได้ในส่วนการบรรเทาผลกระทบของ Android และ Google Play Protect
การบรรเทาผลกระทบของ Android และ บริการของ Google
นี่คือข้อมูลสรุปของการบรรเทาผลกระทบที่แพลตฟอร์มด้านความปลอดภัยของ Android และการป้องกันบริการ เช่น Google Play Protect มีให้ ความสามารถเหล่านี้ ช่วยลดโอกาสที่ช่องโหว่ด้านความปลอดภัย จะถูกใช้ประโยชน์ได้สำเร็จใน Android
- การใช้ประโยชน์จากปัญหาหลายอย่างใน Android ทำได้ยากขึ้นเนื่องจากการปรับปรุงใน Android แพลตฟอร์มเวอร์ชันใหม่ เราขอแนะนำให้ผู้ใช้ทุกคนอัปเดตเป็น Android เวอร์ชันล่าสุด หากทำได้
- ทีมรักษาความปลอดภัยของ Android ตรวจสอบการละเมิด ผ่าน Google Play Protect อย่างสม่ำเสมอและเตือน ผู้ใช้เกี่ยวกับ แอปพลิเคชันที่อาจเป็นอันตราย Google Play Protect เปิดใช้โดยค่าเริ่มต้นในอุปกรณ์ที่มี บริการของ Google Mobile และมีความสำคัญอย่างยิ่ง สำหรับผู้ใช้ที่ติดตั้งแอปจากภายนอก Google Play
รายละเอียดช่องโหว่ระดับแพตช์ด้านความปลอดภัยของวันที่ 01-12-2024
ในส่วนด้านล่างนี้ เราจะให้รายละเอียดเกี่ยวกับช่องโหว่ด้านความปลอดภัยแต่ละรายการที่ใช้กับระดับแพตช์ของวันที่ 01-12-2024 ระบบจะจัดกลุ่มช่องโหว่ตามคอมโพเนนต์ที่ได้รับผลกระทบ เราจะอธิบายปัญหาในตารางด้านล่าง ซึ่งรวมถึงรหัส CVE ID, ข้อมูลอ้างอิงที่เกี่ยวข้อง, ประเภทของ ช่องโหว่, ความรุนแรง และเวอร์ชัน AOSP ที่อัปเดตแล้ว (หาก มี) เมื่อพร้อมใช้งาน เราจะลิงก์การเปลี่ยนแปลงแบบสาธารณะที่ แก้ไขปัญหาไปยังรหัสข้อบกพร่อง เช่น รายการการเปลี่ยนแปลงของ AOSP เมื่อการเปลี่ยนแปลงหลายรายการเกี่ยวข้องกับข้อบกพร่องเดียว เราจะลิงก์ข้อมูลอ้างอิงเพิ่มเติม กับหมายเลขที่ต่อท้ายรหัสข้อบกพร่อง อุปกรณ์ที่ใช้ Android 10 ขึ้นไปอาจได้รับการอัปเดตด้านความปลอดภัย รวมถึง การอัปเดตระบบ Google Play
Framework
ช่องโหว่ที่รุนแรงที่สุดใน ส่วนนี้อาจนำไปสู่การยกระดับสิทธิ์ในเครื่องโดยไม่จำเป็นต้องมี สิทธิ์การดำเนินการเพิ่มเติม| CVE | ข้อมูลอ้างอิง | ประเภท | ความรุนแรง | เวอร์ชัน AOSP ที่อัปเดตแล้ว |
|---|---|---|---|---|
| CVE-2024-43762 | A-340239088 | EoP | สูง | 12, 12L, 13, 14, 15 |
| CVE-2024-43764 | A-317048495 | EoP | สูง | 13, 14 |
| CVE-2024-43769 | A-360807442 | EoP | สูง | 13, 14, 15 |
ระบบ
ช่องโหว่ที่รุนแรงที่สุดในส่วนนี้อาจนำไปสู่การเรียกใช้โค้ดจากระยะไกลโดยไม่จำเป็นต้องมีสิทธิ์การดำเนินการเพิ่มเติม| CVE | ข้อมูลอ้างอิง | ประเภท | ความรุนแรง | เวอร์ชัน AOSP ที่อัปเดตแล้ว |
|---|---|---|---|---|
| CVE-2024-43767 | A-352631932 | RCE | สูง | 12, 12L, 13, 14, 15 |
| CVE-2024-43097 | A-350118416 | EoP | สูง | 12, 12L, 13, 14, 15 |
| CVE-2024-43768 | A-349678452 | EoP | สูง | 12, 12L, 13, 14, 15 |
การอัปเดตระบบ Google Play
ไม่มีปัญหาด้านความปลอดภัยที่ได้รับการแก้ไขในการอัปเดตระบบ Google Play (Project Mainline) ในเดือนนี้
รายละเอียดช่องโหว่ระดับแพตช์ด้านความปลอดภัยของวันที่ 05-12-2024
ในส่วนด้านล่างนี้ เราจะให้รายละเอียดเกี่ยวกับช่องโหว่ด้านความปลอดภัยแต่ละรายการที่ใช้กับระดับแพตช์ของวันที่ 05-12-2024 ระบบจะจัดกลุ่มช่องโหว่ตามคอมโพเนนต์ที่ได้รับผลกระทบ เราจะอธิบายปัญหาในตารางด้านล่าง ซึ่งรวมถึงรหัส CVE ID, ข้อมูลอ้างอิงที่เกี่ยวข้อง, ประเภทของ ช่องโหว่, ความรุนแรง และเวอร์ชัน AOSP ที่อัปเดตแล้ว (หาก มี) เมื่อพร้อมใช้งาน เราจะลิงก์การเปลี่ยนแปลงแบบสาธารณะที่ แก้ไขปัญหาไปยังรหัสข้อบกพร่อง เช่น รายการการเปลี่ยนแปลงของ AOSP เมื่อการเปลี่ยนแปลงหลายรายการเกี่ยวข้องกับข้อบกพร่องเดียว เราจะลิงก์ข้อมูลอ้างอิงเพิ่มเติม กับหมายเลขที่ต่อท้ายรหัสข้อบกพร่อง
Imagination Technologies
ช่องโหว่เหล่านี้ส่งผลกระทบต่อคอมโพเนนต์ของ Imagination Technologies และดูรายละเอียดเพิ่มเติมได้จาก Imagination Technologies โดยตรง การประเมินความรุนแรงของปัญหาเหล่านี้ มาจาก Imagination Technologies โดยตรง
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | คอมโพเนนต์ย่อย |
|---|---|---|---|
| CVE-2024-43077 |
A-357079333 * | สูง | PowerVR-GPU |
| CVE-2024-43701 |
A-363029346 * | สูง | PowerVR-GPU |
คอมโพเนนต์ของ MediaTek
ช่องโหว่นี้ส่งผลกระทบต่อคอมโพเนนต์ของ MediaTek และดูรายละเอียดเพิ่มเติมได้จาก MediaTek โดยตรง การประเมินความรุนแรง ของปัญหานี้มาจาก MediaTek โดยตรง
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | คอมโพเนนต์ย่อย |
|---|---|---|---|
| CVE-2024-20125 |
A-371710871 M-ALPS09046782 * |
สูง | vdec |
คอมโพเนนต์ของ Qualcomm
ช่องโหว่นี้ส่งผลกระทบต่อคอมโพเนนต์ของ Qualcomm และมีการ อธิบายรายละเอียดเพิ่มเติมในประกาศข่าวสารด้านความปลอดภัย หรือการแจ้งเตือนความปลอดภัยที่เหมาะสมของ Qualcomm การประเมินความรุนแรงของปัญหานี้ มาจาก Qualcomm โดยตรง
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | คอมโพเนนต์ย่อย |
|---|---|---|---|
| CVE-2024-33063 |
A-364017561 QC-CR#3749192 |
สูง | WLAN |
คอมโพเนนต์แบบปิดของ Qualcomm
ช่องโหว่เหล่านี้ส่งผลกระทบต่อคอมโพเนนต์แบบปิดของ Qualcomm และมีการอธิบายรายละเอียดเพิ่มเติมในประกาศข่าวสารด้านความปลอดภัยหรือการแจ้งเตือนความปลอดภัยที่เหมาะสมของ Qualcomm การประเมินความรุนแรงของ ปัญหาเหล่านี้มาจาก Qualcomm โดยตรง
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | คอมโพเนนต์ย่อย |
|---|---|---|---|
| CVE-2024-33044 |
A-344620789 * | สูง | คอมโพเนนต์แบบปิด |
| CVE-2024-33056 |
A-344619640 * | สูง | คอมโพเนนต์แบบปิด |
| CVE-2024-43048 |
A-364017161 * | สูง | คอมโพเนนต์แบบปิด |
| CVE-2024-43052 |
A-364017831 * | สูง | คอมโพเนนต์แบบปิด |
คำถามที่พบบ่อยและ คำตอบ
ส่วนนี้จะตอบคำถามที่พบบ่อยซึ่งผู้ใช้อาจสงสัยหลังจากที่อ่านประกาศข่าวสารนี้
1. ฉันจะทราบได้อย่างไรว่าอุปกรณ์ได้รับการอัปเดตเพื่อ แก้ไขปัญหาเหล่านี้แล้ว
ดูวิธีตรวจสอบระดับแพตช์ด้านความปลอดภัยของอุปกรณ์ได้ที่ ตรวจสอบและอัปเดตเวอร์ชัน Android
- ระดับแพตช์ด้านความปลอดภัยของวันที่ 01-12-2024 ขึ้นไปจะแก้ไขปัญหาทั้งหมด ที่เกี่ยวข้องกับระดับแพตช์ด้านความปลอดภัยของวันที่ 01-12-2024
- ระดับแพตช์ด้านความปลอดภัยของวันที่ 05-12-2024 ขึ้นไปจะแก้ไขปัญหาทั้งหมด ที่เกี่ยวข้องกับระดับแพตช์ด้านความปลอดภัยของวันที่ 05-12-2024 และ ระดับแพตช์ก่อนหน้าทั้งหมด
ผู้ผลิตอุปกรณ์ที่รวมการอัปเดตเหล่านี้ควรตั้งค่า ระดับสตริงแพตช์เป็น
- [ro.build.version.security_patch]:[2024-12-01]
- [ro.build.version.security_patch]:[2024-12-05]
สำหรับอุปกรณ์บางรุ่นที่ใช้ Android 10 ขึ้นไป การอัปเดตระบบ Google Play จะมีสตริงวันที่ที่ตรงกับระดับแพตช์ด้านความปลอดภัยของวันที่ 01-12-2024 โปรดดูรายละเอียดเพิ่มเติมเกี่ยวกับวิธีติดตั้งการอัปเดตด้านความปลอดภัยได้ที่บทความนี้
2. เหตุใดประกาศข่าวสารนี้จึงมีระดับแพตช์ด้านความปลอดภัย 2 ระดับ?
ประกาศข่าวสารนี้มีระดับแพตช์ด้านความปลอดภัย 2 ระดับเพื่อให้พาร์ทเนอร์ Android มีความยืดหยุ่นในการแก้ไขช่องโหว่บางส่วนที่มีลักษณะคล้ายกันในอุปกรณ์ Android ทั้งหมดได้เร็วขึ้น เราขอแนะนำให้พาร์ทเนอร์ Android แก้ไขปัญหาทั้งหมดในประกาศข่าวสารนี้และ ใช้ระดับแพตช์ด้านความปลอดภัยล่าสุด
- อุปกรณ์ที่ใช้ระดับแพตช์ด้านความปลอดภัยของวันที่ 01-12-2024 ต้อง รวมปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ด้านความปลอดภัยดังกล่าว รวมถึงการแก้ไขปัญหาทั้งหมดที่รายงานในประกาศข่าวสารด้านความปลอดภัยก่อนหน้านี้
- อุปกรณ์ที่ใช้ระดับแพตช์ด้านความปลอดภัยของวันที่ 05-12-2024 หรือ ใหม่กว่าต้องรวมแพตช์ที่เกี่ยวข้องทั้งหมดในประกาศข่าวสารด้านความปลอดภัยนี้ (และ ประกาศข่าวสารด้านความปลอดภัยก่อนหน้านี้)
เราขอแนะนำให้พาร์ทเนอร์รวมการแก้ไขปัญหาทั้งหมดที่กำลังดำเนินการไว้ในการอัปเดตครั้งเดียว
3. รายการในคอลัมน์ ประเภท หมายถึงอะไร
รายการในคอลัมน์ ประเภท ของตารางรายละเอียดช่องโหว่ จะอ้างอิงการแยกประเภทช่องโหว่ด้านความปลอดภัย
| ตัวย่อ | คำจำกัดความ |
|---|---|
| RCE | การดำเนินการกับโค้ดจากระยะไกล |
| EoP | การยกระดับสิทธิ์ |
| ID | การเปิดเผยข้อมูล |
| DoS | การปฏิเสธการให้บริการ |
| ไม่มี | ไม่มีการแยกประเภท |
4. รายการในคอลัมน์ ข้อมูลอ้างอิง หมายถึงอะไร
รายการในคอลัมน์ ข้อมูลอ้างอิง ของ ตารางรายละเอียดช่องโหว่อาจมีคำนำหน้าเพื่อระบุ องค์กรที่เป็นเจ้าของค่าข้อมูลอ้างอิง
| คำนำหน้า | ข้อมูลอ้างอิง |
|---|---|
| A- | รหัสข้อบกพร่องของ Android |
| QC- | หมายเลขอ้างอิงของ Qualcomm |
| M- | หมายเลขอ้างอิงของ MediaTek |
| N- | หมายเลขอ้างอิงของ NVIDIA |
| B- | หมายเลขอ้างอิงของ Broadcom |
| U- | หมายเลขอ้างอิงของ UNISOC |
5. เครื่องหมาย * ที่อยู่ข้างรหัสข้อบกพร่องของ Android ในคอลัมน์ ข้อมูลอ้างอิง หมายถึงอะไร
ปัญหาที่ไม่ได้เปิดเผยต่อสาธารณะจะมีเครื่องหมาย * อยู่ข้าง รหัสอ้างอิงที่เกี่ยวข้อง โดยทั่วไป การอัปเดตสำหรับปัญหานั้นจะอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Pixel ซึ่งดาวน์โหลดได้จาก เว็บไซต์นักพัฒนาแอปของ Google
6. เหตุใดช่องโหว่ด้านความปลอดภัยจึงแยกออกเป็นประกาศข่าวสารนี้ และประกาศข่าวสารด้านความปลอดภัยของอุปกรณ์ / พาร์ทเนอร์ เช่น ประกาศข่าวสารของ Pixel
ช่องโหว่ด้านความปลอดภัยที่ระบุไว้ในประกาศข่าวสารด้านความปลอดภัยนี้ ต้องประกาศระดับแพตช์ด้านความปลอดภัยล่าสุด ในอุปกรณ์ Android ส่วนช่องโหว่ด้านความปลอดภัยเพิ่มเติมที่ระบุไว้ในประกาศข่าวสารด้านความปลอดภัยของอุปกรณ์ / พาร์ทเนอร์นั้นไม่จำเป็นต้องประกาศระดับแพตช์ด้านความปลอดภัย นอกจากนี้ ผู้ผลิตอุปกรณ์ Android และชิปเซ็ตอาจเผยแพร่รายละเอียดช่องโหว่ด้านความปลอดภัยที่เฉพาะเจาะจงกับผลิตภัณฑ์ของตน เช่น Google, Huawei, LGE, Motorola, Nokia, หรือ Samsung
เวอร์ชัน
| เวอร์ชัน | วันที่ | หมายเหตุ |
|---|---|---|
| 1.0 | 2 ธันวาคม 2024 | เผยแพร่ประกาศข่าวสารแล้ว |