Boletim de atualização do Android Automotive OS — julho de 2022

Publicado em 6 de julho de 2022

O boletim de atualização do Android Automotive OS (AAOS) contém detalhes das vulnerabilidades de segurança que afetam a plataforma do Android Automotive OS. A atualização completa do AAOS inclui o nível de patch de segurança de 2022-07-05 ou posterior do Boletim de Segurança do Android de julho de 2022 , além de todos os problemas neste boletim.

Incentivamos todos os clientes a aceitar essas atualizações em seus dispositivos.

O mais grave desses problemas é uma alta vulnerabilidade de segurança no componente AAOS que poderia . A avaliação de gravidade é baseada no efeito que a exploração da vulnerabilidade possivelmente teria em um dispositivo afetado, supondo que as atenuações da plataforma e do serviço sejam desativadas para fins de desenvolvimento ou se forem ignoradas com êxito.

Anúncios

  • Além das vulnerabilidades de segurança descritas no Android Security Bulletin de julho de 2022, o Android Automotive OS Update Bulletin de julho de 2022 também contém patches específicos para vulnerabilidades AAOS, conforme descrito abaixo.

Detalhes da vulnerabilidade no nível do patch de segurança de 2022-07-01

Nas seções abaixo, fornecemos detalhes para cada uma das vulnerabilidades de segurança que se aplicam ao nível de patch 2022-07-01. As vulnerabilidades são agrupadas sob o componente que afetam. Os problemas são descritos nas tabelas abaixo e incluem ID de CVE, referências associadas, tipo de vulnerabilidade , gravidade e versões atualizadas do AOSP (quando aplicável). Quando disponível, vinculamos a alteração pública que abordou o problema ao ID do bug, como a lista de alterações do AOSP. Quando várias alterações estão relacionadas a um único bug, referências adicionais são vinculadas a números após o ID do bug. Dispositivos com Android 10 e posterior podem receber atualizações de segurança, bem como atualizações do sistema do Google Play .

AAOS

A vulnerabilidade mais grave nesta seção pode levar ao escalonamento local de privilégios sem a necessidade de privilégios de execução adicionais.

CVE Referências Modelo Gravidade Versões AOSP atualizadas
CVE-2022-20234 A-225189301 EU IRIA Alto 12L
CVE-2022-20212 A-182282630 EoP Moderado 10, 11

Perguntas e respostas comuns

Esta seção responde a perguntas comuns que podem ocorrer após a leitura deste boletim.

1. Como determino se meu dispositivo está atualizado para resolver esses problemas?

Para saber como verificar o nível de patch de segurança de um dispositivo, leia as instruções na programação de atualização de dispositivos do Google .

  • Os níveis de patch de segurança de 2022-07-01 ou posterior abordam todos os problemas associados ao nível de patch de segurança de 2022-07-01.

Os fabricantes de dispositivos que incluem essas atualizações devem definir o nível da string de patch para:

  • [ro.build.version.security_patch]:[2022-07-01]

Para alguns dispositivos no Android 10 ou posterior, a atualização do sistema do Google Play terá uma string de data que corresponde ao nível do patch de segurança 2022-07-01. Consulte este artigo para obter mais detalhes sobre como instalar atualizações de segurança.

2. O que significam as entradas na coluna Tipo ?

As entradas na coluna Tipo da tabela de detalhes da vulnerabilidade fazem referência à classificação da vulnerabilidade de segurança.

Abreviação Definição
RCE Execução remota de código
EoP Elevação de privilégio
EU IRIA Divulgação de informação
DoS Negação de serviço
N / D Classificação não disponível

3. O que significam as entradas na coluna Referências ?

As entradas na coluna Referências da tabela de detalhes da vulnerabilidade podem conter um prefixo que identifica a organização à qual o valor de referência pertence.

Prefixo Referência
UMA- ID do bug do Android
CQ- Número de referência da Qualcomm
M- Número de referência da MediaTek
N- Número de referência da NVIDIA
B- Número de referência da Broadcom
VOCÊ- Número de referência UNISOC

4. O que significa um * ao lado do ID do bug do Android na coluna Referências ?

Os problemas que não estão disponíveis publicamente têm um * ao lado do ID de referência correspondente. A atualização para esse problema geralmente está contida nos drivers binários mais recentes para dispositivos Pixel disponíveis no site do Google Developer .

5. Por que as vulnerabilidades de segurança são divididas entre este boletim e os boletins de segurança do dispositivo/parceiro, como o boletim Pixel?

As vulnerabilidades de segurança documentadas neste boletim de segurança são necessárias para declarar o nível de patch de segurança mais recente em dispositivos Android. Vulnerabilidades de segurança adicionais documentadas nos boletins de segurança do dispositivo/parceiro não são necessárias para declarar um nível de patch de segurança. Os fabricantes de dispositivos e chipsets Android também podem publicar detalhes de vulnerabilidades de segurança específicos de seus produtos, como Google , Huawei , LGE , Motorola , Nokia ou Samsung .

Versões

Versão Encontro Notas
1.1 6 de julho de 2022 Boletim divulgado