ประกาศการอัปเดตระบบปฏิบัติการ Android สำหรับยานยนต์ - มกราคม 2023, ประกาศการอัปเดตระบบปฏิบัติการ Android สำหรับรถยนต์ - มกราคม 2023

เผยแพร่เมื่อวันที่ 3 มกราคม 2022

กระดานข่าวสารการอัปเดต Android Automotive OS (AAOS) มีรายละเอียดของช่องโหว่ด้านความปลอดภัยที่ส่งผลต่อแพลตฟอร์ม Android Automotive OS การอัปเดต AAOS ฉบับสมบูรณ์ประกอบด้วยระดับแพตช์ความปลอดภัยของ 2023-01-05 หรือใหม่กว่าจาก กระดานข่าวความปลอดภัยของ Android เดือนมกราคม 2566 นอกเหนือจากปัญหาทั้งหมดในกระดานข่าวนี้

เราขอแนะนำให้ลูกค้าทุกคนยอมรับการอัปเดตเหล่านี้ในอุปกรณ์ของตน

ปัญหาที่รุนแรงที่สุดของปัญหาเหล่านี้คือช่องโหว่ด้านความปลอดภัยสูงในส่วนประกอบ Platform Apps ซึ่งอาจนำไปสู่การเพิ่มสิทธิ์ในเครื่องโดยไม่ต้องใช้สิทธิ์ในการดำเนินการเพิ่มเติม การ ประเมินความรุนแรง จะขึ้นอยู่กับผลกระทบของการใช้ประโยชน์จากช่องโหว่ที่อาจเกิดขึ้นกับอุปกรณ์ที่ได้รับผลกระทบ สมมติว่าแพลตฟอร์มและบริการปิดใช้งานเพื่อวัตถุประสงค์ในการพัฒนาหรือหากข้ามได้สำเร็จ

ประกาศ

  • นอกจากช่องโหว่ด้านความปลอดภัยที่อธิบายไว้ในกระดานข่าวความปลอดภัยของ Android เดือนมกราคม 2566 แล้ว กระดานข่าวการอัปเดต Android Automotive OS เดือนมกราคม 2566 ยังมีแพตช์เฉพาะสำหรับช่องโหว่ AAOS ตามที่อธิบายไว้ด้านล่าง

2023-01-01 รายละเอียดช่องโหว่ระดับแพตช์ความปลอดภัย

ในส่วนด้านล่าง เราได้ให้รายละเอียดสำหรับช่องโหว่ด้านความปลอดภัยแต่ละรายการที่ใช้กับระดับแพตช์ 2023-01-01 ช่องโหว่ถูกจัดกลุ่มภายใต้องค์ประกอบที่ได้รับผลกระทบ มีการอธิบายปัญหาในตารางด้านล่างและรวมถึง CVE ID, การอ้างอิงที่เกี่ยวข้อง, ประเภทของช่องโหว่ , ความรุนแรง และเวอร์ชัน AOSP ที่อัปเดต (ถ้ามี) เมื่อพร้อมใช้งาน เราจะเชื่อมโยงการเปลี่ยนแปลงสาธารณะที่แก้ไขปัญหากับ ID จุดบกพร่อง เช่น รายการการเปลี่ยนแปลง AOSP เมื่อการเปลี่ยนแปลงหลายรายการเกี่ยวข้องกับข้อบกพร่องเดียว การอ้างอิงเพิ่มเติมจะเชื่อมโยงกับหมายเลขที่ตามหลังรหัสข้อบกพร่อง อุปกรณ์ที่ใช้ Android 10 และใหม่กว่าอาจได้รับการอัปเดตความปลอดภัย เช่นเดียวกับ การอัปเดตระบบ Google Play

กรอบสื่อ

ช่องโหว่ในส่วนนี้อาจนำไปสู่การเปิดเผยข้อมูลในท้องถิ่นโดยไม่จำเป็นต้องมีสิทธิ์ดำเนินการเพิ่มเติม

ซีวี อ้างอิง พิมพ์ ความรุนแรง อัปเดตเวอร์ชัน AOSP
CVE-2022-20353 A-221041256 รหัส สูง 10, 11

แอพแพลตฟอร์ม

ช่องโหว่ที่รุนแรงที่สุดในส่วนนี้อาจนำไปสู่การเพิ่มสิทธิ์ในเครื่องโดยไม่จำเป็นต้องมีสิทธิ์ดำเนินการเพิ่มเติม

ซีวี อ้างอิง พิมพ์ ความรุนแรง อัปเดตเวอร์ชัน AOSP
CVE-2021-39738 A-216190509 สพป สูง 10, 11, 12, 12L
CVE-2022-20425 ก-255830464 อย สูง 10, 11

รายละเอียดช่องโหว่เพิ่มเติม

ส่วนด้านล่างแสดงรายละเอียดเกี่ยวกับช่องโหว่ด้านความปลอดภัยที่มีให้เพื่อวัตถุประสงค์ในการเปิดเผยข้อมูล ปัญหาเหล่านี้ไม่จำเป็นสำหรับการปฏิบัติตาม SPL

แอพแพลตฟอร์ม

ซีวี อ้างอิง พิมพ์ ความรุนแรง อัปเดตเวอร์ชัน AOSP
CVE-2022-20213 A-183410508 อย ปานกลาง 10, 11, 12
CVE-2022-20215 A-183794206 อย ปานกลาง 10, 11, 12
CVE-2022-20214 A-183411210 สพป ต่ำ 10, 11, 12

UI ของระบบ

ซีวี อ้างอิง พิมพ์ ความรุนแรง อัปเดตเวอร์ชัน AOSP
CVE-2022-20458 A-205567776 สพป ปานกลาง 12L

ส่วนประกอบเคอร์เนล

ซีวี อ้างอิง พิมพ์ ความรุนแรง ส่วนประกอบย่อย
CVE-2022-28389 A-228694270
เคอร์เนลต้นน้ำ
สพป ปานกลาง ไดรเวอร์ USB CAN บัส

คำถามและคำตอบทั่วไป

ส่วนนี้จะตอบคำถามทั่วไปที่อาจเกิดขึ้นหลังจากอ่านกระดานข่าวนี้

1. ฉันจะทราบได้อย่างไรว่าอุปกรณ์ของฉันได้รับการอัปเดตเพื่อแก้ไขปัญหาเหล่านี้หรือไม่

หากต้องการเรียนรู้วิธีตรวจสอบระดับแพตช์ความปลอดภัยของอุปกรณ์ โปรดอ่านคำแนะนำใน กำหนดการอัปเดตอุปกรณ์ Google

  • ระดับแพตช์ความปลอดภัยของ 2023-01-01 หรือใหม่กว่าแก้ไขปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัย 2023-01-01

ผู้ผลิตอุปกรณ์ที่มีการอัปเดตเหล่านี้ควรตั้งค่าระดับสตริงของแพตช์เป็น:

  • [ro.build.version.security_patch]:[2023-01-01]

สำหรับอุปกรณ์บางรุ่นที่ใช้ Android 10 หรือใหม่กว่า การอัปเดตระบบ Google Play จะมีสตริงวันที่ตรงกับระดับแพตช์ความปลอดภัย 2023-01-01 โปรดดู บทความนี้ สำหรับรายละเอียดเพิ่มเติมเกี่ยวกับวิธีการติดตั้งโปรแกรมปรับปรุงความปลอดภัย

2. รายการในคอลัมน์ Type หมายถึงอะไร

รายการในคอลัมน์ Type ของตารางรายละเอียดช่องโหว่อ้างอิงการจัดประเภทของช่องโหว่ด้านความปลอดภัย

ตัวย่อ คำนิยาม
อาร์ซีอี การเรียกใช้โค้ดจากระยะไกล
สพป การยกระดับสิทธิพิเศษ
รหัส การเปิดเผยข้อมูล
อย การปฏิเสธการให้บริการ
ไม่มีข้อมูล ไม่มีการจำแนกประเภท

3. รายการในคอลัมน์ References หมายถึงอะไร?

รายการภายใต้คอลัมน์ References ของตารางรายละเอียดช่องโหว่อาจมีคำนำหน้าที่ระบุถึงองค์กรที่เป็นเจ้าของค่าอ้างอิง

คำนำหน้า อ้างอิง
เอ- รหัสข้อบกพร่องของ Android
QC- หมายเลขอ้างอิงของวอลคอมม์
M- หมายเลขอ้างอิง MediaTek
N- หมายเลขอ้างอิงของ NVIDIA
B- หมายเลขอ้างอิงของ Broadcom
ยู- หมายเลขอ้างอิง UNISOC

4. เครื่องหมาย * ถัดจาก ID จุดบกพร่องของ Android ในคอลัมน์ References หมายถึงอะไร

ปัญหาที่ไม่เปิดเผยต่อสาธารณะจะมี * ถัดจาก ID อ้างอิงที่เกี่ยวข้อง การอัปเดตสำหรับปัญหานั้นโดยทั่วไปมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Pixel ที่มีให้จาก ไซต์ Google Developer

5. เหตุใดช่องโหว่ด้านความปลอดภัยจึงถูกแยกระหว่างกระดานข่าวนี้กับกระดานข่าวความปลอดภัยของอุปกรณ์/พันธมิตร เช่น กระดานข่าว Pixel

ช่องโหว่ด้านความปลอดภัยที่บันทึกไว้ในกระดานข่าวความปลอดภัยนี้จำเป็นต้องประกาศระดับแพตช์ความปลอดภัยล่าสุดบนอุปกรณ์ Android ช่องโหว่ด้านความปลอดภัยเพิ่มเติมที่บันทึกไว้ในกระดานข่าวความปลอดภัยของอุปกรณ์/คู่ค้าไม่จำเป็นสำหรับการประกาศระดับแพตช์ความปลอดภัย ผู้ผลิตอุปกรณ์ Android และชิปเซ็ตอาจเผยแพร่รายละเอียดช่องโหว่ด้านความปลอดภัยเฉพาะสำหรับผลิตภัณฑ์ของตน เช่น Google , Huawei , LGE , Motorola , Nokia หรือ Samsung

6. เหตุใดกระดานข่าวนี้จึงมีแพตช์ความปลอดภัยสองระดับ

กระดานข่าวนี้มีแพตช์ความปลอดภัยสองระดับเพื่อให้พันธมิตร Android มีความยืดหยุ่นในการแก้ไขช่องโหว่บางส่วนที่คล้ายกันในอุปกรณ์ Android ทุกเครื่องได้รวดเร็วยิ่งขึ้น พันธมิตร Android ได้รับการสนับสนุนให้แก้ไขปัญหาทั้งหมดในกระดานข่าวนี้ และใช้ระดับแพตช์ความปลอดภัยล่าสุด

  • อุปกรณ์ที่ใช้ระดับแพตช์ความปลอดภัย 2023-01-01 จะต้องมีปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัยนั้น เช่นเดียวกับการแก้ไขปัญหาทั้งหมดที่รายงานในกระดานข่าวความปลอดภัยก่อนหน้านี้

พันธมิตรได้รับการสนับสนุนให้รวมการแก้ไขสำหรับปัญหาทั้งหมดที่พวกเขากำลังแก้ไขในการอัปเดตเดียว

รุ่น

รุ่น วันที่ หมายเหตุ
1.0 3 มกราคม 2565 ประกาศเผยแพร่แล้ว
, เผยแพร่เมื่อวันที่ 3 มกราคม 2022

กระดานข่าวสารการอัปเดต Android Automotive OS (AAOS) มีรายละเอียดของช่องโหว่ด้านความปลอดภัยที่ส่งผลต่อแพลตฟอร์ม Android Automotive OS การอัปเดต AAOS ฉบับสมบูรณ์ประกอบด้วยระดับแพตช์ความปลอดภัยของ 2023-01-05 หรือใหม่กว่าจาก กระดานข่าวความปลอดภัยของ Android เดือนมกราคม 2566 นอกเหนือจากปัญหาทั้งหมดในกระดานข่าวนี้

เราขอแนะนำให้ลูกค้าทุกคนยอมรับการอัปเดตเหล่านี้ในอุปกรณ์ของตน

ปัญหาที่รุนแรงที่สุดของปัญหาเหล่านี้คือช่องโหว่ด้านความปลอดภัยสูงในส่วนประกอบ Platform Apps ซึ่งอาจนำไปสู่การเพิ่มสิทธิ์ในเครื่องโดยไม่ต้องใช้สิทธิ์ในการดำเนินการเพิ่มเติม การ ประเมินความรุนแรง จะขึ้นอยู่กับผลกระทบของการใช้ประโยชน์จากช่องโหว่ที่อาจเกิดขึ้นกับอุปกรณ์ที่ได้รับผลกระทบ สมมติว่าแพลตฟอร์มและบริการปิดใช้งานเพื่อวัตถุประสงค์ในการพัฒนาหรือหากข้ามได้สำเร็จ

ประกาศ

  • นอกจากช่องโหว่ด้านความปลอดภัยที่อธิบายไว้ในกระดานข่าวความปลอดภัยของ Android เดือนมกราคม 2566 แล้ว กระดานข่าวการอัปเดต Android Automotive OS เดือนมกราคม 2566 ยังมีแพตช์เฉพาะสำหรับช่องโหว่ AAOS ตามที่อธิบายไว้ด้านล่าง

2023-01-01 รายละเอียดช่องโหว่ระดับแพตช์ความปลอดภัย

ในส่วนด้านล่าง เราได้ให้รายละเอียดสำหรับช่องโหว่ด้านความปลอดภัยแต่ละรายการที่ใช้กับระดับแพตช์ 2023-01-01 ช่องโหว่ถูกจัดกลุ่มภายใต้องค์ประกอบที่ได้รับผลกระทบ มีการอธิบายปัญหาในตารางด้านล่างและรวมถึง CVE ID, การอ้างอิงที่เกี่ยวข้อง, ประเภทของช่องโหว่ , ความรุนแรง และเวอร์ชัน AOSP ที่อัปเดต (ถ้ามี) เมื่อพร้อมใช้งาน เราจะเชื่อมโยงการเปลี่ยนแปลงสาธารณะที่แก้ไขปัญหากับ ID จุดบกพร่อง เช่น รายการการเปลี่ยนแปลง AOSP เมื่อการเปลี่ยนแปลงหลายรายการเกี่ยวข้องกับข้อบกพร่องเดียว การอ้างอิงเพิ่มเติมจะเชื่อมโยงกับหมายเลขที่ตามหลังรหัสข้อบกพร่อง อุปกรณ์ที่ใช้ Android 10 และใหม่กว่าอาจได้รับการอัปเดตความปลอดภัย เช่นเดียวกับ การอัปเดตระบบ Google Play

กรอบสื่อ

ช่องโหว่ในส่วนนี้อาจนำไปสู่การเปิดเผยข้อมูลในท้องถิ่นโดยไม่จำเป็นต้องมีสิทธิ์ดำเนินการเพิ่มเติม

ซีวี อ้างอิง พิมพ์ ความรุนแรง อัปเดตเวอร์ชัน AOSP
CVE-2022-20353 A-221041256 รหัส สูง 10, 11

แอพแพลตฟอร์ม

ช่องโหว่ที่รุนแรงที่สุดในส่วนนี้อาจนำไปสู่การเพิ่มสิทธิ์ในเครื่องโดยไม่จำเป็นต้องมีสิทธิ์ดำเนินการเพิ่มเติม

ซีวี อ้างอิง พิมพ์ ความรุนแรง อัปเดตเวอร์ชัน AOSP
CVE-2021-39738 A-216190509 สพป สูง 10, 11, 12, 12L
CVE-2022-20425 ก-255830464 อย สูง 10, 11

รายละเอียดช่องโหว่เพิ่มเติม

ส่วนด้านล่างแสดงรายละเอียดเกี่ยวกับช่องโหว่ด้านความปลอดภัยที่มีให้เพื่อวัตถุประสงค์ในการเปิดเผยข้อมูล ปัญหาเหล่านี้ไม่จำเป็นสำหรับการปฏิบัติตาม SPL

แอพแพลตฟอร์ม

ซีวี อ้างอิง พิมพ์ ความรุนแรง อัปเดตเวอร์ชัน AOSP
CVE-2022-20213 A-183410508 อย ปานกลาง 10, 11, 12
CVE-2022-20215 A-183794206 อย ปานกลาง 10, 11, 12
CVE-2022-20214 A-183411210 สพป ต่ำ 10, 11, 12

UI ของระบบ

ซีวี อ้างอิง พิมพ์ ความรุนแรง อัปเดตเวอร์ชัน AOSP
CVE-2022-20458 A-205567776 สพป ปานกลาง 12L

ส่วนประกอบเคอร์เนล

ซีวี อ้างอิง พิมพ์ ความรุนแรง ส่วนประกอบย่อย
CVE-2022-28389 A-228694270
เคอร์เนลต้นน้ำ
สพป ปานกลาง ไดรเวอร์ USB CAN บัส

คำถามและคำตอบทั่วไป

ส่วนนี้จะตอบคำถามทั่วไปที่อาจเกิดขึ้นหลังจากอ่านกระดานข่าวนี้

1. ฉันจะทราบได้อย่างไรว่าอุปกรณ์ของฉันได้รับการอัปเดตเพื่อแก้ไขปัญหาเหล่านี้หรือไม่

หากต้องการเรียนรู้วิธีตรวจสอบระดับแพตช์ความปลอดภัยของอุปกรณ์ โปรดอ่านคำแนะนำใน กำหนดการอัปเดตอุปกรณ์ Google

  • ระดับแพตช์ความปลอดภัยของ 2023-01-01 หรือใหม่กว่าแก้ไขปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัย 2023-01-01

ผู้ผลิตอุปกรณ์ที่มีการอัปเดตเหล่านี้ควรตั้งค่าระดับสตริงของแพตช์เป็น:

  • [ro.build.version.security_patch]:[2023-01-01]

สำหรับอุปกรณ์บางรุ่นที่ใช้ Android 10 หรือใหม่กว่า การอัปเดตระบบ Google Play จะมีสตริงวันที่ตรงกับระดับแพตช์ความปลอดภัย 2023-01-01 โปรดดู บทความนี้ สำหรับรายละเอียดเพิ่มเติมเกี่ยวกับวิธีการติดตั้งโปรแกรมปรับปรุงความปลอดภัย

2. รายการในคอลัมน์ Type หมายถึงอะไร

รายการในคอลัมน์ Type ของตารางรายละเอียดช่องโหว่อ้างอิงการจัดประเภทของช่องโหว่ด้านความปลอดภัย

ตัวย่อ คำนิยาม
อาร์ซีอี การเรียกใช้โค้ดจากระยะไกล
สพป การยกระดับสิทธิพิเศษ
รหัส การเปิดเผยข้อมูล
อย การปฏิเสธการให้บริการ
ไม่มีข้อมูล ไม่มีการจำแนกประเภท

3. รายการในคอลัมน์ References หมายถึงอะไร?

รายการภายใต้คอลัมน์ References ของตารางรายละเอียดช่องโหว่อาจมีคำนำหน้าที่ระบุองค์กรที่เป็นเจ้าของค่าอ้างอิง

คำนำหน้า อ้างอิง
เอ- รหัสข้อบกพร่องของ Android
QC- หมายเลขอ้างอิงของวอลคอมม์
M- หมายเลขอ้างอิง MediaTek
N- หมายเลขอ้างอิงของ NVIDIA
B- หมายเลขอ้างอิงของ Broadcom
ยู- หมายเลขอ้างอิง UNISOC

4. เครื่องหมาย * ถัดจาก ID จุดบกพร่องของ Android ในคอลัมน์ References หมายถึงอะไร

ปัญหาที่ไม่เปิดเผยต่อสาธารณะจะมี * ถัดจาก ID อ้างอิงที่เกี่ยวข้อง การอัปเดตสำหรับปัญหานั้นโดยทั่วไปมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Pixel ที่มีให้จาก ไซต์ Google Developer

5. เหตุใดช่องโหว่ด้านความปลอดภัยจึงถูกแยกระหว่างกระดานข่าวนี้กับกระดานข่าวความปลอดภัยของอุปกรณ์/พันธมิตร เช่น กระดานข่าว Pixel

ช่องโหว่ด้านความปลอดภัยที่บันทึกไว้ในกระดานข่าวความปลอดภัยนี้จำเป็นต้องประกาศระดับแพตช์ความปลอดภัยล่าสุดบนอุปกรณ์ Android ช่องโหว่ด้านความปลอดภัยเพิ่มเติมที่บันทึกไว้ในกระดานข่าวความปลอดภัยของอุปกรณ์/คู่ค้าไม่จำเป็นสำหรับการประกาศระดับแพตช์ความปลอดภัย ผู้ผลิตอุปกรณ์ Android และชิปเซ็ตอาจเผยแพร่รายละเอียดช่องโหว่ด้านความปลอดภัยเฉพาะสำหรับผลิตภัณฑ์ของตน เช่น Google , Huawei , LGE , Motorola , Nokia หรือ Samsung

6. เหตุใดกระดานข่าวนี้จึงมีแพตช์ความปลอดภัยสองระดับ

กระดานข่าวนี้มีแพตช์ความปลอดภัยสองระดับเพื่อให้พันธมิตร Android มีความยืดหยุ่นในการแก้ไขช่องโหว่บางส่วนที่คล้ายกันในอุปกรณ์ Android ทั้งหมดได้รวดเร็วยิ่งขึ้น พันธมิตร Android ได้รับการสนับสนุนให้แก้ไขปัญหาทั้งหมดในกระดานข่าวนี้ และใช้ระดับแพตช์ความปลอดภัยล่าสุด

  • อุปกรณ์ที่ใช้ระดับแพตช์ความปลอดภัย 2023-01-01 จะต้องมีปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัยนั้น เช่นเดียวกับการแก้ไขปัญหาทั้งหมดที่รายงานในกระดานข่าวความปลอดภัยก่อนหน้านี้

พันธมิตรได้รับการสนับสนุนให้รวมการแก้ไขสำหรับปัญหาทั้งหมดที่พวกเขากำลังแก้ไขในการอัปเดตครั้งเดียว

รุ่น

รุ่น วันที่ หมายเหตุ
1.0 3 มกราคม 2565 ประกาศเผยแพร่แล้ว