กระดานข่าวสารการอัปเดต Android Automotive OS - พฤษภาคม 2022

เผยแพร่เมื่อวันที่ 2 พฤษภาคม 2022

กระดานข่าวสารการอัปเดต Android Automotive OS (AAOS) มีรายละเอียดของช่องโหว่ด้านความปลอดภัยที่ส่งผลกระทบต่อแพลตฟอร์ม Android Automotive OS การอัปเดต AAOS แบบเต็มประกอบด้วยระดับแพตช์ความปลอดภัยของวันที่ 05-05-2022 หรือ หลังจากนั้นจากประกาศข่าวสารด้านความปลอดภัยของ Android เดือนพฤษภาคม 2022 นอกเหนือจากปัญหาทั้งหมด ในประกาศข่าวสารนี้

เราขอแนะนำให้ลูกค้าทุกรายยอมรับการอัปเดตเหล่านี้ในอุปกรณ์

ปัญหาในกระดานข่าวนี้คือช่องโหว่ด้านความปลอดภัยระดับสูงในคอมโพเนนต์ AAOS ซึ่งอาจทําให้ผู้โจมตีจับคู่อุปกรณ์ BT ได้โดยไม่ได้รับความยินยอมจากผู้ใช้ การประเมินความรุนแรงจะอิงตามผลกระทบที่การ ใช้ประโยชน์จากช่องโหว่อาจมีต่ออุปกรณ์ที่ได้รับผลกระทบ โดยสมมติว่ามีการปิดการลดความเสี่ยงของแพลตฟอร์มและบริการเพื่อวัตถุประสงค์ในการพัฒนา หรือหากมีการข้ามการลดความเสี่ยงได้สำเร็จ

ประกาศ

  • นอกเหนือจากช่องโหว่ด้านความปลอดภัยที่อธิบายไว้ในประกาศข่าวสารด้านความปลอดภัยของ Android เดือนพฤษภาคม 2022 แล้ว ประกาศข่าวสารการอัปเดต Android Automotive OS เดือนพฤษภาคม 2022 ยังมีแพตช์สำหรับช่องโหว่ของ AAOS โดยเฉพาะตามที่อธิบายไว้ด้านล่างด้วย

รายละเอียดช่องโหว่ระดับแพตช์ด้านความปลอดภัย 2022-05-01

ในส่วนด้านล่าง เราจะให้รายละเอียดเกี่ยวกับช่องโหว่ด้านความปลอดภัยแต่ละรายการที่ใช้กับแพตช์ระดับ 2022-05-01 ระบบจะแบ่งประเภทช่องโหว่ตามคอมโพเนนต์ที่ได้รับผลกระทบ ปัญหาจะอธิบายไว้ในตารางด้านล่างและมีรหัส CVE, ข้อมูลอ้างอิงที่เกี่ยวข้อง, ประเภทของช่องโหว่, ความรุนแรง และเวอร์ชัน AOSP ที่อัปเดตแล้ว (หากมี) เมื่อมี เราจะลิงก์การเปลี่ยนแปลงแบบสาธารณะที่แก้ไขปัญหาไปยังรหัสข้อบกพร่อง เช่น รายการการเปลี่ยนแปลงของ AOSP เมื่อการเปลี่ยนแปลงหลายรายการเกี่ยวข้องกับข้อบกพร่องเดียว ระบบจะลิงก์ข้อมูลอ้างอิงเพิ่มเติมกับหมายเลขที่ต่อท้ายรหัสข้อบกพร่อง อุปกรณ์ที่ใช้ Android 10 ขึ้นไปอาจได้รับการอัปเดตความปลอดภัยและการอัปเดตระบบ Google Play

AAOS

ช่องโหว่ในส่วนนี้อาจทําให้ผู้โจมตีจับคู่อุปกรณ์ BT โดยไม่ได้รับความยินยอมจากผู้ใช้

CVE ข้อมูลอ้างอิง ประเภท ความรุนแรง เวอร์ชัน AOSP ที่อัปเดตแล้ว
CVE-2021-39738 A-216190509 EoP สูง 10, 11, 12, 12L

คำถามที่พบบ่อยและคำตอบ

ส่วนนี้จะตอบคำถามที่พบบ่อยซึ่งผู้ใช้อาจสงสัยหลังจากที่อ่านกระดานข่าวสารนี้

1. ฉันจะทราบได้อย่างไรว่าอุปกรณ์ได้รับการอัปเดตเพื่อแก้ไขปัญหาเหล่านี้แล้ว

ดูวิธีตรวจสอบระดับแพตช์ความปลอดภัยของอุปกรณ์ได้ในวิธีการ ในกำหนดการอัปเดตอุปกรณ์ Google

  • ระดับแพตช์ความปลอดภัยตั้งแต่ 2022-05-01 เป็นต้นไปจะแก้ไขปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัย 2022-05-01

ผู้ผลิตอุปกรณ์ที่รวมการอัปเดตเหล่านี้ควรตั้งค่าระดับสตริงแพตช์ เป็น

  • [ro.build.version.security_patch]:[2022-05-01]

สำหรับอุปกรณ์บางรุ่นที่ใช้ Android 10 ขึ้นไป การอัปเดตระบบ Google Play จะมีสตริงวันที่ที่ตรงกับระดับแพตช์ด้านความปลอดภัย 2022-05-01 โปรดดูรายละเอียดเพิ่มเติมเกี่ยวกับวิธีติดตั้งการอัปเดตความปลอดภัยในบทความนี้

2. รายการในคอลัมน์ประเภทหมายถึงอะไร

รายการในคอลัมน์ประเภทของตารางรายละเอียดช่องโหว่ จะอ้างอิงการแยกประเภทช่องโหว่ด้านความปลอดภัย

ตัวย่อ คำจำกัดความ
RCE การดำเนินการกับโค้ดจากระยะไกล
EoP การยกระดับสิทธิ์
ID การเปิดเผยข้อมูล
DoS การปฏิเสธการให้บริการ
ไม่มี ไม่มีการแยกประเภท

3. รายการในคอลัมน์การอ้างอิงหมายถึงอะไร

รายการในคอลัมน์ข้อมูลอ้างอิงของตารางรายละเอียดช่องโหว่อาจมีคำนำหน้าที่ระบุองค์กรที่ค่าข้อมูลอ้างอิงเป็นขององค์กรนั้น

คำนำหน้า ข้อมูลอ้างอิง
A- รหัสข้อบกพร่องของ Android
QC- หมายเลขอ้างอิงของ Qualcomm
M- หมายเลขอ้างอิงของ MediaTek
N- หมายเลขอ้างอิงของ NVIDIA
B- หมายเลขอ้างอิงของ Broadcom
U- หมายเลขอ้างอิงของ UNISOC

4. เครื่องหมาย * ข้างรหัสข้อบกพร่องของ Android ในคอลัมน์การอ้างอิง หมายความว่าอย่างไร

ปัญหาที่ไม่ได้เผยแพร่ต่อสาธารณะจะมีเครื่องหมาย * อยู่ข้างรหัสอ้างอิงที่เกี่ยวข้อง โดยทั่วไปแล้ว การอัปเดตสำหรับปัญหานั้นจะอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Pixel ซึ่งพร้อมให้บริการจากเว็บไซต์ Google Developers

5. เหตุใดช่องโหว่ด้านความปลอดภัยจึงแยกออกเป็นประกาศนี้และ ประกาศด้านความปลอดภัยของอุปกรณ์ / พาร์ทเนอร์ เช่น ประกาศของ Pixel

ช่องโหว่ด้านความปลอดภัยที่บันทึกไว้ในประกาศข่าวสารด้านความปลอดภัยนี้ จำเป็นต้องประกาศระดับแพตช์ด้านความปลอดภัยล่าสุดในอุปกรณ์ Android คุณไม่จำเป็นต้องระบุช่องโหว่ด้านความปลอดภัยเพิ่มเติมที่บันทึกไว้ใน ประกาศข่าวสารด้านความปลอดภัยของอุปกรณ์ / พาร์ทเนอร์ เพื่อประกาศระดับแพตช์ด้านความปลอดภัย ผู้ผลิตอุปกรณ์ Android และชิปเซ็ต อาจเผยแพร่รายละเอียดช่องโหว่ด้านความปลอดภัยที่เฉพาะเจาะจงสำหรับผลิตภัณฑ์ของตนด้วย เช่น Google Huawei LGE Motorola Nokia หรือ Samsung

เวอร์ชัน

เวอร์ชัน วันที่ หมายเหตุ
1.0 2 พฤษภาคม 2022 เผยแพร่ Bulletin แล้ว