עדכון ל-Android Automotive OS – מאי 2022

פורסם ב-2 במאי 2022

עדכון האבטחה הדחוף ל-Android Automotive OS ‏ (AAOS) מכיל פרטים על נקודות חולשה שמשפיעות על פלטפורמת Android Automotive OS. העדכון המלא של AAOS כולל את רמת תיקוני האבטחה של 2022-05-05 ואילך מחדשות האבטחה של Android מחודש מאי 2022, בנוסף לכל הבעיות שפורטו בחדשות האבטחה האלה.

אנחנו ממליצים לכל הלקוחות להתקין את העדכונים האלה במכשירים שלהם.

הבעיה שמתוארת בפרסום הזה היא נקודת חולשה ברמת אבטחה גבוהה ברכיב AAOS, שיכולה לאפשר לתוקף לשייך מכשיר BT ללא הסכמת המשתמשים. הערכת החומרה מבוססת על ההשפעה האפשרית של ניצול הפגיעות על מכשיר מושפע, בהנחה שהפלטפורמה והשירותים להפחתת הסיכון מושבתים למטרות פיתוח או אם נעקפו בהצלחה.

הודעות

  • בנוסף לנקודות החולשה שמתוארות בחדשות האבטחה של Android מ-2022, בעדכון האבטחה של Android Automotive OS מ-2022 יש גם תיקונים ספציפיים לנקודות חולשה ב-AAOS, כפי שמתואר בהמשך.

פרטים על נקודת החולשה ברמת תיקוני האבטחה – 01.05.2022

בקטעים הבאים מפורטות נקודות החולשה באבטחה שרלוונטיות לרמת התיקון 2022-05-01. נקודות החולשה מקובצות לפי הרכיב שהן משפיעות עליו. הבעיות מתוארות בטבלאות שבהמשך, וכוללות את מזהה ה-CVE, הפניות למקורות חיצוניים, סוג נקודת החולשה, חומרת הבעיה ומספרי הגרסאות המעודכנות של AOSP (אם רלוונטי). כשאפשר אנחנו מקשרים את התיקון שפורסם ופותר את הבעיה למזהה של הבאג, כמו ברשימת השינויים ב-AOSP. אם כמה עדכונים קשורים לאותו באג, אנחנו מקשרים מקורות נוספים למספרים שמופיעים אחרי המזהה של הבאג. במכשירים עם Android מגרסה 10 ואילך, יכול להיות שיתקבלו עדכוני אבטחה וגם עדכוני מערכת של Google Play.

AAOS

הפגיעות שמתוארת בקטע הזה יכולה לאפשר לתוקף לשייך מכשיר BT ללא הסכמת המשתמשים.

CVE קובצי עזר סוג מידת החומרה גרסאות AOSP מעודכנות
CVE-2021-39738 A-216190509 EoP גבוהה ‫10, 11, 12, 12L

תשובות לשאלות נפוצות

בקטע הזה תמצאו תשובות לשאלות נפוצות שיכולות לעלות אחרי שתקראו את פרטי העדכון הזה.

1. איך אפשר לבדוק אם המכשיר שלי קיבל את העדכון שפותר את הבעיות האלה?

בלוח הזמנים של עדכוני מכשירי Google מוסבר איך בודקים את רמת תיקוני האבטחה במכשיר.

  • תיקוני אבטחה מרמה 2022-05-01 ואילך פותרים את כל הבעיות שמשויכות להם.

יצרני מכשירים שכוללים את העדכונים האלה צריכים להגדיר את רמת מחרוזת התיקון ל:

  • ‫[ro.build.version.security_patch]:[2022-05-01]

בחלק מהמכשירים עם Android מגרסה 10 ואילך, עדכון המערכת של Google Play יכלול מחרוזת תאריך שתואמת לרמת תיקון האבטחה 2022-05-01. במאמר הזה מוסבר איך להתקין עדכוני אבטחה.

2. מה המשמעות של הערכים בעמודה סוג?

הערכים בעמודה סוג בטבלת הפרטים של נקודות החולשה מתייחסים לסיווג שלהן.

קיצור ההגדרה
RCE הרצת קוד מרחוק
EoP רמת הרשאה גבוהה יותר
ID חשיפת מידע
מניעת שירות (DoS) התקפת מניעת שירות
N/A אין סיווג

3. מה המשמעות של הערכים בעמודה הפניות למקורות חיצוניים?

מידע על הערכים בעמודה הפניות למקורות חיצוניים בטבלה של פרטי נקודות החולשה: יש מקרים שבהם לערך יש תחילית שמציינת לאיזה ארגון משויך מקור המידע החיצוני.

תחילית מקור המידע החיצוני
A-‎ מזהה הבאג ב-Android
QC- מספר סימוכין של Qualcomm
M-‎ מספר סימוכין של MediaTek
N- מספר סימוכין של NVIDIA
B-‎ מספר סימוכין של Broadcom
U- מספר סימוכין של UNISOC

4. מה המשמעות של הכוכבית (*) לצד מזהה הבאג ב-Android בעמודה הפניות למקור חיצוני?

אם הנתונים על הבעיה לא פורסמו לציבור הרחב, יש סימן * לצד מזהה ההפניה המתאים. העדכון לבעיה הזו בדרך כלל כלול במנהלי ההתקנים הבינאריים העדכניים ביותר למכשירי Pixel שזמינים באתר המפתחים של Google.

5. למה חלק מנקודות החולשה מפורטות כאן וחלק בחדשות האבטחה של מכשירים או שותפים, כמו החדשות של Pixel?

נקודות חולשה באבטחה שמתועדות בעדכון אבטחה דחוף זה נדרשות כדי להצהיר על רמת תיקוני האבטחה העדכנית ביותר במכשירי Android. אין צורך לתעד נקודות חולשה נוספות שמתועדות בעדכוני אבטחה דחופים של מכשירים / שותפים בשביל הצהרה על רמת תיקוני האבטחה. יצרנים של מכשירי Android וערכות שבבים עשויים לפרסם גם פרטים על פגיעויות אבטחה שספציפיות למוצרים שלהם, כמו Google,‏ Huawei,‏ LGE,‏ Motorola,‏ Nokia או Samsung.

גרסאות

הגרסה תאריך הערות
1.0 ‫2 במאי 2022 תאריך פרסום העדכון