กระดานข่าวสารด้านความปลอดภัยของ Android มีรายละเอียดช่องโหว่ด้านความปลอดภัย ที่ส่งผลกระทบต่ออุปกรณ์ Android ระดับแพตช์ด้านความปลอดภัยของ 2025-04-05 หรือใหม่กว่าจะแก้ไขปัญหาทั้งหมดเหล่านี้ ดูวิธีตรวจสอบระดับแพตช์ความปลอดภัยของอุปกรณ์ได้ที่ตรวจสอบและอัปเดตเวอร์ชัน Android
พาร์ทเนอร์ Android จะได้รับการแจ้งเตือนเกี่ยวกับปัญหาทั้งหมดอย่างน้อย 1 เดือนก่อน การเผยแพร่ เราจะเผยแพร่แพตช์ซอร์สโค้ดสำหรับปัญหาเหล่านี้ไปยังที่เก็บของโครงการโอเพนซอร์ส Android (AOSP) ในอีก 48 ชั่วโมง เราจะแก้ไข กระดานข่าวนี้พร้อมลิงก์ AOSP เมื่อพร้อมใช้งาน
ปัญหาที่ร้ายแรงที่สุดคือช่องโหว่ด้านความปลอดภัยที่ร้ายแรงในคอมโพเนนต์ของระบบ ซึ่งอาจนำไปสู่การเพิ่มสิทธิ์จากระยะไกลโดยไม่จำเป็นต้องมีสิทธิ์การดำเนินการเพิ่มเติม ไม่จำเป็นต้องมีการโต้ตอบกับผู้ใช้เพื่อทำการเอ็กซ์พลอยต์ การประเมินความรุนแรงจะอิงตามผลกระทบที่การ ใช้ประโยชน์จากช่องโหว่อาจมีต่ออุปกรณ์ที่ได้รับผลกระทบ โดยสมมติว่ามีการปิดการลดความเสี่ยงของแพลตฟอร์มและบริการเพื่อวัตถุประสงค์ในการพัฒนา หรือหากมีการข้ามการลดความเสี่ยงได้สำเร็จ
โปรดดูรายละเอียดเกี่ยวกับการป้องกันแพลตฟอร์มความปลอดภัยของ Android และ Google Play Protect ซึ่งช่วยปรับปรุงความปลอดภัยของแพลตฟอร์ม Android ได้ในส่วนการลดความเสี่ยงของ Android และ Google Play Protect
การลดความเสี่ยงของบริการ Android และ Google
นี่คือสรุปการลดความเสี่ยงที่แพลตฟอร์มความปลอดภัยของ Android และการป้องกันบริการ เช่น Google Play Protect มอบให้ ความสามารถเหล่านี้ช่วยลดโอกาสที่ช่องโหว่ด้านความปลอดภัยจะถูกเจาะใน Android ได้สำเร็จ
- การใช้ช่องโหว่สำหรับปัญหาหลายอย่างใน Android นั้นทำได้ยากขึ้นเนื่องจาก การปรับปรุงในแพลตฟอร์ม Android เวอร์ชันใหม่ เราขอแนะนำให้ผู้ใช้ทุกราย อัปเดตเป็น Android เวอร์ชันล่าสุดหากเป็นไปได้
- ทีมความปลอดภัยของ Android คอยตรวจสอบการละเมิดผ่าน Google Play Protect และเตือนผู้ใช้เกี่ยวกับแอปพลิเคชันที่อาจเป็นอันตราย Google Play Protect จะเปิดใช้โดยค่าเริ่มต้นในอุปกรณ์ที่ใช้บริการของ Google Mobile และมีความสำคัญอย่างยิ่งสำหรับผู้ใช้ที่ติดตั้งแอปจากภายนอก Google Play
รายละเอียดช่องโหว่ระดับแพตช์ความปลอดภัย 2025-04-01
ในส่วนด้านล่าง เราจะให้รายละเอียดเกี่ยวกับช่องโหว่ด้านความปลอดภัยแต่ละรายการ ที่ใช้กับแพตช์ระดับ 2025-04-01 ระบบจะแบ่งประเภทช่องโหว่ตามคอมโพเนนต์ที่ได้รับผลกระทบ ปัญหาจะอธิบายไว้ในตารางด้านล่างและมีรหัส CVE, ข้อมูลอ้างอิงที่เกี่ยวข้อง, ประเภทของช่องโหว่, ความรุนแรง และเวอร์ชัน AOSP ที่อัปเดต (หากมี) เมื่อมีการเปลี่ยนแปลงแบบสาธารณะที่แก้ไขปัญหาแล้ว เราจะลิงก์การเปลี่ยนแปลงดังกล่าวกับ รหัสข้อบกพร่อง เช่น รายการการเปลี่ยนแปลงของ AOSP เมื่อการเปลี่ยนแปลงหลายรายการเกี่ยวข้องกับข้อบกพร่องเดียว ระบบจะลิงก์ข้อมูลอ้างอิงเพิ่มเติมกับหมายเลขที่ต่อท้ายรหัสข้อบกพร่อง อุปกรณ์ที่ใช้ Android 10 ขึ้นไปอาจได้รับการอัปเดตความปลอดภัยและการอัปเดตระบบ Google Play
Framework
ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้เกิดการเพิ่มสิทธิ์ในเครื่องโดยไม่ต้องมีสิทธิ์การดำเนินการเพิ่มเติม ไม่จำเป็นต้องมีการโต้ตอบจากผู้ใช้ในการใช้ประโยชน์
| CVE | ข้อมูลอ้างอิง | ประเภท | ความรุนแรง | เวอร์ชัน AOSP ที่อัปเดตแล้ว |
|---|---|---|---|---|
| CVE-2025-22429 | A-373357090 | รหัส | วิกฤต | 13, 14, 15 |
| CVE-2025-22416 | A-277207798 | EoP | สูง | 13, 14, 15 |
| CVE-2025-22417 | A-332277530 | EoP | สูง | 14, 15 |
| CVE-2025-22422 | A-339532378 [2] | EoP | สูง | 13, 14, 15 |
| CVE-2025-22434 | A-378900798 | EoP | สูง | 14, 15 |
| CVE-2025-22437 | A-317203980 | EoP | สูง | 13 |
| CVE-2025-22438 | A-343129193 | EoP | สูง | 13, 14 |
| CVE-2025-22442 | A-382064697 | EoP | สูง | 13, 14, 15 |
| CVE-2024-49722 | A-341688848 [2] | รหัส | สูง | 15 |
| CVE-2025-22421 | A-338024220 | รหัส | สูง | 13, 14, 15 |
| CVE-2025-22430 | A-374257207 | รหัส | สูง | 15 |
| CVE-2025-22431 | A-375623125 | DoS | สูง | 13, 14, 15 |
ระบบ
ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้เกิดการยกระดับสิทธิ์จากระยะไกลโดยไม่ต้องมีสิทธิ์การดำเนินการเพิ่มเติม ไม่จำเป็นต้องมีการโต้ตอบจากผู้ใช้ในการใช้ประโยชน์
| CVE | ข้อมูลอ้างอิง | ประเภท | ความรุนแรง | เวอร์ชัน AOSP ที่อัปเดตแล้ว |
|---|---|---|---|---|
| CVE-2025-26416 | A-388480622 | EoP | วิกฤต | 13, 14, 15 |
| CVE-2025-22423 | A-346797131 | DoS | วิกฤต | 13, 14, 15 |
| CVE-2024-40653 | A-293458004 [2] [3] | EoP | สูง | 13, 14, 15 |
| CVE-2024-49720 | A-355411348 | EoP | สูง | 13, 14, 15 |
| CVE-2024-49730 | A-284989074 | EoP | สูง | 13, 14 |
| CVE-2025-22418 | A-333344157 | EoP | สูง | 13, 14 |
| CVE-2025-22419 | A-335387175 | EoP | สูง | 13, 14, 15 |
| CVE-2025-22427 | A-368579654 | EoP | สูง | 13, 14, 15 |
| CVE-2025-22428 | A-372671447 | EoP | สูง | 13, 14, 15 |
| CVE-2025-22433 | A-376674080 [2] | EoP | สูง | 13, 14, 15 |
| CVE-2025-22435 | A-273995284 | EoP | สูง | 13, 14, 15 |
| CVE-2025-22439 | A-352294617 | EoP | สูง | 13, 14, 15 |
| CVE-2024-49728 | A-296915500 | รหัส | สูง | 13, 14, 15 |
การอัปเดตระบบ Google Play
ปัญหาต่อไปนี้รวมอยู่ในคอมโพเนนต์ของโปรเจ็กต์ Mainline
| คอมโพเนนต์ย่อย | CVE |
|---|---|
| UI ของเอกสาร | CVE-2025-22439 |
| MediaProvider | CVE-2024-49730 |
| ตัวควบคุมสิทธิ์ | CVE-2024-49720 |
รายละเอียดช่องโหว่ระดับแพตช์ความปลอดภัย 2025-04-05
ในส่วนด้านล่าง เราจะให้รายละเอียดเกี่ยวกับช่องโหว่ด้านความปลอดภัยแต่ละรายการที่ใช้กับระดับแพตช์ 2025-04-05 ระบบจะแบ่งประเภทช่องโหว่ตามคอมโพเนนต์ที่ได้รับผลกระทบ ปัญหาจะอธิบายไว้ในตารางด้านล่างและมีรหัส CVE, ข้อมูลอ้างอิงที่เกี่ยวข้อง, ประเภทของช่องโหว่, ความรุนแรง และเวอร์ชัน AOSP ที่อัปเดต (หากมี) เมื่อมีการเปลี่ยนแปลงแบบสาธารณะที่แก้ไขปัญหาแล้ว เราจะลิงก์การเปลี่ยนแปลงดังกล่าวกับ รหัสข้อบกพร่อง เช่น รายการการเปลี่ยนแปลงของ AOSP เมื่อการเปลี่ยนแปลงหลายรายการเกี่ยวข้องกับข้อบกพร่องเดียว ระบบจะลิงก์ข้อมูลอ้างอิงเพิ่มเติมกับหมายเลขที่ต่อท้ายรหัสข้อบกพร่อง
ฟองสบู่แตก
ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้เกิดการเพิ่มสิทธิ์ในเครื่องโดยไม่ต้องมีสิทธิ์การดำเนินการเพิ่มเติม ไม่จำเป็นต้องมีการโต้ตอบจากผู้ใช้ในการใช้ประโยชน์
| CVE | ข้อมูลอ้างอิง | ประเภท | ความรุนแรง | คอมโพเนนต์ย่อย |
|---|---|---|---|---|
| CVE-2024-50264 | A-378870958
เคอร์เนลต้นทาง |
EoP | สูง | สุทธิ |
| CVE-2024-53197 | A-382243530
เคอร์เนลต้นทาง [2] |
EoP | สูง | USB |
| CVE-2024-56556 | A-380855429
เคอร์เนลต้นน้ำ [2] |
EoP | สูง | ถุงแบบมีซิป |
| CVE-2024-53150 | A-382239029
เคอร์เนลต้นน้ำ [2] |
รหัส | สูง | USB |
ส่วนประกอบของแขน
ช่องโหว่นี้ส่งผลต่อคอมโพเนนต์ของ Arm และดูรายละเอียดเพิ่มเติมได้จาก Arm โดยตรง การประเมินระดับความรุนแรงของปัญหานี้มาจาก Arm โดยตรง
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | คอมโพเนนต์ย่อย |
|---|---|---|---|
| CVE-2025-0050 |
A-384996147 * | สูง | มาลี |
Imagination Technologies
ช่องโหว่เหล่านี้ส่งผลต่อคอมโพเนนต์ของ Imagination Technologies และดูรายละเอียดเพิ่มเติมได้จาก Imagination Technologies โดยตรง การประเมินความรุนแรงของปัญหาเหล่านี้มาจาก Imagination Technologies โดยตรง
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | คอมโพเนนต์ย่อย |
|---|---|---|---|
| CVE-2024-43702 |
A-363071287 * | สูง | PowerVR-GPU |
| CVE-2024-43703 |
A-366410795 * | สูง | PowerVR-GPU |
| CVE-2024-46972 |
A-374964509 * | สูง | PowerVR-GPU |
| CVE-2024-47897 |
A-381272263 * | สูง | PowerVR-GPU |
| CVE-2024-52936 |
A-380302155 * | สูง | PowerVR-GPU |
| CVE-2024-52937 |
A-381273105 * | สูง | PowerVR-GPU |
| CVE-2024-52938 |
A-380397760 * | สูง | PowerVR-GPU |
| CVE-2024-47894 |
A-382770071 * | สูง | PowerVR-GPU |
| CVE-2024-47895 |
A-380296167 * | สูง | PowerVR-GPU |
คอมโพเนนต์ของ MediaTek
ช่องโหว่เหล่านี้ส่งผลต่อคอมโพเนนต์ของ MediaTek และคุณสามารถดูรายละเอียดเพิ่มเติมได้จาก MediaTek โดยตรง การประเมินความรุนแรงของปัญหาเหล่านี้มาจาก MediaTek โดยตรง
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | คอมโพเนนต์ย่อย |
|---|---|---|---|
| CVE-2025-20656 |
A-393950961
M-ALPS09625423 * |
สูง | DA |
| CVE-2025-20657 |
A-393950963
M-ALPS09486425 * |
สูง | vdec |
| CVE-2025-20658 |
A-393950964
M-ALPS09474894 * |
สูง | DA |
| CVE-2025-20655 |
A-393950958
M-DTV04427687 * |
สูง | Keymaster |
คอมโพเนนต์ของ Qualcomm
ช่องโหว่เหล่านี้ส่งผลกระทบต่อคอมโพเนนต์ของ Qualcomm และมีการอธิบาย รายละเอียดเพิ่มเติมในกระดานข่าวสารด้านความปลอดภัยหรือการแจ้งเตือนด้านความปลอดภัยที่เหมาะสมของ Qualcomm การประเมินความรุนแรงของปัญหาเหล่านี้มาจาก Qualcomm โดยตรง
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | คอมโพเนนต์ย่อย |
|---|---|---|---|
| CVE-2024-43066 |
A-372003347
QC-CR#3731804 |
สูง | Bootloader |
| CVE-2024-49848 |
A-388048362
QC-CR#3908517 |
สูง | ฟองสบู่แตก |
| CVE-2025-21429 |
A-388048166
QC-CR#3960857 [2] |
สูง | WLAN |
| CVE-2025-21430 |
A-388047866
QC-CR#3910625 [2] |
สูง | WLAN |
| CVE-2025-21434 |
A-388048345
QC-CR#3918068 |
สูง | WLAN |
| CVE-2025-21435 |
A-388047607
QC-CR#3924648 |
สูง | WLAN |
| CVE-2025-21436 |
A-388048322
QC-CR#3927062 |
สูง | ฟองสบู่แตก |
คอมโพเนนต์ที่ไม่เปิดเผยรหัสต้นฉบับของ Qualcomm
ช่องโหว่เหล่านี้ส่งผลกระทบต่อคอมโพเนนต์แบบปิดซอร์สของ Qualcomm และมีการอธิบายรายละเอียดเพิ่มเติมในกระดานข่าวสารด้านความปลอดภัยหรือการแจ้งเตือนด้านความปลอดภัยที่เหมาะสมของ Qualcomm การประเมินความรุนแรงของปัญหาเหล่านี้มาจาก Qualcomm โดยตรง
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | คอมโพเนนต์ย่อย |
|---|---|---|---|
| CVE-2024-45551 |
A-372002538 * | วิกฤต | คอมโพเนนต์แบบปิด |
| CVE-2024-33058 |
A-372002796 * | สูง | คอมโพเนนต์แบบปิด |
| CVE-2024-43065 |
A-372003122 * | สูง | คอมโพเนนต์แบบปิด |
| CVE-2024-45549 |
A-372002818 * | สูง | คอมโพเนนต์แบบปิด |
| CVE-2024-45552 |
A-372003503 * | สูง | คอมโพเนนต์แบบปิด |
| CVE-2025-21448 |
A-388048021 * | สูง | คอมโพเนนต์แบบปิด |
คำถามที่พบบ่อยและคำตอบ
ส่วนนี้จะตอบคำถามที่พบบ่อยซึ่งผู้ใช้อาจสงสัยหลังจากที่อ่านกระดานข่าวสารนี้
1. ฉันจะทราบได้อย่างไรว่าอุปกรณ์ได้รับการอัปเดตเพื่อแก้ไขปัญหาเหล่านี้แล้ว
ดูวิธีตรวจสอบระดับแพตช์ความปลอดภัยของอุปกรณ์ได้ที่ตรวจสอบและอัปเดตเวอร์ชัน Android
- ระดับแพตช์ความปลอดภัยของวันที่ 01-04-2025 หรือหลังจากนั้นจะแก้ไข ปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัยของวันที่ 01-04-2025
- ระดับแพตช์ความปลอดภัยตั้งแต่ 2025-04-05 ขึ้นไปจะแก้ไข ปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัย 2025-04-05 และระดับแพตช์ก่อนหน้าทั้งหมด
ผู้ผลิตอุปกรณ์ที่รวมการอัปเดตเหล่านี้ควรตั้งค่าระดับสตริงแพตช์ เป็น
- [ro.build.version.security_patch]:[2025-04-01]
- [ro.build.version.security_patch]:[2025-04-05]
สำหรับอุปกรณ์บางรุ่นใน Android 10 ขึ้นไป การอัปเดตระบบ Google Play จะมีสตริงวันที่ที่ตรงกับระดับแพตช์ความปลอดภัย 2025-04-01 โปรดดูรายละเอียดเพิ่มเติมเกี่ยวกับวิธีติดตั้ง การอัปเดตความปลอดภัยได้ในบทความนี้
2. ทำไมกระดานข่าวนี้จึงมีแพตช์ความปลอดภัย 2 ระดับ
จดหมายข่าวนี้มีแพตช์ด้านความปลอดภัย 2 ระดับเพื่อให้พาร์ทเนอร์ของ Android มี ความยืดหยุ่นในการแก้ไขชุดย่อยของช่องโหว่ที่คล้ายกันในอุปกรณ์ Android ทั้งหมด ได้เร็วขึ้น เราขอแนะนำให้พาร์ทเนอร์ Android แก้ไขปัญหาทั้งหมด ในกระดานข่าวนี้และใช้ระดับแพตช์ความปลอดภัยล่าสุด
- อุปกรณ์ที่ใช้ระดับแพตช์ด้านความปลอดภัย 2025-04-01 ต้องรวมปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ด้านความปลอดภัยนั้น รวมถึง การแก้ไขปัญหาทั้งหมดที่รายงานในกระดานข่าวความปลอดภัยก่อนหน้านี้
- อุปกรณ์ที่ใช้ระดับแพตช์ด้านความปลอดภัย 2025-04-05 หรือใหม่กว่าต้องมีแพตช์ที่เกี่ยวข้องทั้งหมดในกระดานข่าว ด้านความปลอดภัยนี้ (และก่อนหน้า)
เราขอแนะนำให้พาร์ทเนอร์รวมการแก้ไขปัญหาทั้งหมดที่กำลังดำเนินการไว้ในการอัปเดตครั้งเดียว
3. รายการในคอลัมน์ประเภทหมายถึงอะไร
รายการในคอลัมน์ประเภทของตารางรายละเอียดช่องโหว่ จะอ้างอิงการแยกประเภทช่องโหว่ด้านความปลอดภัย
| ตัวย่อ | คำจำกัดความ |
|---|---|
| RCE | การดำเนินการกับโค้ดจากระยะไกล |
| EoP | การยกระดับสิทธิ์ |
| รหัส | การเปิดเผยข้อมูล |
| DoS | ปฏิเสธการให้บริการ |
| ไม่มี | ไม่มีการแยกประเภท |
4. รายการในคอลัมน์การอ้างอิงหมายถึงอะไร
รายการในคอลัมน์ข้อมูลอ้างอิงของตารางรายละเอียดช่องโหว่อาจมีคำนำหน้าที่ระบุองค์กรที่ค่าข้อมูลอ้างอิงเป็นของ
| คำนำหน้า | ข้อมูลอ้างอิง |
|---|---|
| A- | รหัสข้อบกพร่องของ Android |
| QC- | หมายเลขอ้างอิงของ Qualcomm |
| M- | หมายเลขอ้างอิงของ MediaTek |
| N- | หมายเลขอ้างอิงของ NVIDIA |
| B- | หมายเลขอ้างอิงของ Broadcom |
| U- | หมายเลขอ้างอิงของ UNISOC |
5. เครื่องหมาย * ข้างรหัสข้อบกพร่องของ Android ในคอลัมน์การอ้างอิง หมายความว่าอย่างไร
ปัญหาที่ไม่ได้เผยแพร่ต่อสาธารณะจะมีเครื่องหมาย * อยู่ข้างรหัสอ้างอิงที่เกี่ยวข้อง โดยทั่วไปแล้ว การอัปเดตสำหรับปัญหานั้นจะอยู่ใน ไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Pixel ซึ่งมีให้บริการในเว็บไซต์ Google Developers
6. เหตุใดช่องโหว่ด้านความปลอดภัยจึงแยกอยู่ในกระดานข่าวนี้และกระดานข่าวความปลอดภัยของอุปกรณ์ / พาร์ทเนอร์ เช่น กระดานข่าวของ Pixel
ช่องโหว่ด้านความปลอดภัยที่บันทึกไว้ในกระดานข่าวความปลอดภัยนี้ จำเป็นต้องประกาศระดับแพตช์ด้านความปลอดภัยล่าสุดในอุปกรณ์ Android คุณไม่จำเป็นต้องระบุช่องโหว่ด้านความปลอดภัยเพิ่มเติมที่บันทึกไว้ใน กระดานข่าวความปลอดภัยของอุปกรณ์ / พาร์ทเนอร์ เพื่อประกาศระดับแพตช์ด้านความปลอดภัย ผู้ผลิตอุปกรณ์และชิปเซ็ต Android อาจเผยแพร่รายละเอียดช่องโหว่ด้านความปลอดภัยที่เฉพาะเจาะจงสำหรับผลิตภัณฑ์ของตนด้วย เช่น Google Huawei LGE Motorola Nokia หรือ Samsung
เวอร์ชัน
| เวอร์ชัน | วันที่ | หมายเหตุ |
|---|---|---|
| 1.0 | 7 เมษายน 2025 | เผยแพร่ Bulletin แล้ว |
| 1.1 | 8 เมษายน 2025 | เพิ่มลิงก์ AOSP แล้ว |
| 1.2 | 22 เมษายน 2025 | ตาราง CVE ที่อัปเดตแล้ว |