תאריך פרסום: 20 בספטמבר 2021 | תאריך עדכון: 25 באפריל 2022
בעדכון הזה יפורטו פרטים על נקודות חולשה באבטחה שמשפיעות על מכשירי Android, והוא ייכלל ב-Android 12. מכשירי Android 12 עם תיקון אבטחה מגרסה 2021.10.01 ואילך מוגנים מפני הבעיות האלה (Android 12, כפי שהושק ב-AOSP, יוגדר כברירת מחדל לתיקון רמת האבטחה משנת 2021.10.01). במאמר בדיקת גרסת Android ועדכון שלה מוסבר איך בודקים את רמת תיקון האבטחה של המכשיר.
שותפי Android מקבלים הודעות על כל הבעיות לפני הפרסום. תיקוני קוד המקור לבעיות האלה יפורסמו במאגר של Android Open Source Project (AOSP) כחלק מהשקת Android 12.
הערכת החומרה של הבעיות שמפורטות בפתקים האלה מבוססת על ההשפעה האפשרית של ניצול נקודת החולשה על המכשיר המושפע, בהנחה שהאמצעי למזעור הפגיעות בפלטפורמה ובשירות מושבתים למטרות פיתוח או אם הם עוקפים בהצלחה.
לא קיבלנו דיווחים על ניצול פעיל או ניצול לרעה של הבעיות החדשות האלה על ידי לקוחות. בקטע אמצעי מיטיגציה ב-Android וב-Google Play Protect מפורט מידע על ההגנות של פלטפורמת האבטחה של Android ועל Google Play Protect, שמשפרים את האבטחה של פלטפורמת Android.
הודעות
- הבעיות המתוארות במסמך הזה טופלו כחלק מ-Android 12. המידע הזה מופיע לצורך עיון ושקיפות.
- אנחנו רוצים להודות ולהכיר תודה לקהילת חוקרי האבטחה על התרומות המתמשכות שלהם לשיפור האבטחה בסביבת Android.
הפחתת ההשפעה על שירותי Android ו-Google
זהו סיכום של אמצעי המיטיגציה שסופקו על ידי פלטפורמת האבטחה של Android וההגנות על השירותים, כמו Google Play Protect. היכולות האלה מפחיתות את הסבירות לניצול של נקודות חולשה באבטחה ב-Android.
- שיפורים בגרסאות חדשות יותר של פלטפורמת Android מקשים על ניצול של בעיות רבות ב-Android. אנחנו ממליצים לכל המשתמשים לעדכן לגרסה האחרונה של Android כשהדבר אפשרי.
- צוות האבטחה של Android עוקב באופן פעיל אחר התנהלות פוגעת באמצעות Google Play Protect, ומזהיר משתמשים לגבי אפליקציות שעלולות להזיק. Google Play Protect מופעל כברירת מחדל במכשירים עם Google Mobile Services, והוא חשוב במיוחד למשתמשים שמתקינים אפליקציות ממקורות שאינם Google Play.
פרטי נקודת החולשה ב-Android 12
הקטעים הבאים מספקים פרטים על פרצות אבטחה שתוקנו כחלק מ-Android 12. נקודות החולשה מקובצות לפי הרכיב שבו הן משפיעות, וכוללות פרטים כמו מספר CVE, מקורות מידע משויכים, סוג נקודת החולשה ומידת החומרה.
Android TV
| CVE | קובצי עזר | סוג | מידת החומרה |
|---|---|---|---|
| CVE-2021-0825 | A-174493596 | EoP | בינונית |
| CVE-2021-0828 | A-174046975 | EoP | בינונית |
סביבת זמן ריצה ל-Android (ART)
| CVE | קובצי עזר | סוג | מידת החומרה |
|---|---|---|---|
| CVE-2021-0808 | A-178822800 | EoP | בינונית |
| CVE-2021-0809 | A-178822418 | EoP | בינונית |
| CVE-2021-0810 | A-178821065 | EoP | בינונית |
| CVE-2021-0811 | A-178802681 | ליש"ט | בינונית |
Framework
| CVE | קובצי עזר | סוג | מידת החומרה |
|---|---|---|---|
| CVE-2020-27059 | A-159249069 | EoP | רחב |
| CVE-2021-0440 | A-175319005 | ליש"ט | רחב |
| CVE-2021-0737 | A-188909109 | EoP | רחב |
| CVE-2021-0748 | A-187043377 | EoP | רחב |
| CVE-2021-0749 | A-186776724 | EoP | רחב |
| CVE-2021-0750 | A-186530450 | ליש"ט | רחב |
| CVE-2021-0762 | A-184972789 | ליש"ט | רחב |
| CVE-2021-0856 | A-146211400 | EoP | רחב |
| CVE-2021-0862 | A-129698226 | EoP | רחב |
| CVE-2021-0868 | A-190732424 | ליש"ט | רחב |
| CVE-2021-0845 | A-166668654 | מזהה | רחב |
| CVE-2021-0858 | A-141467028 | מזהה | רחב |
| CVE-2021-0709 | A-194540462 | EoP | בינונית |
| CVE-2021-0726 | A-190396251 | EoP | בינונית |
| CVE-2021-0727 | A-190343571 | EoP | בינונית |
| CVE-2021-0736 | A-188908756 | EoP | בינונית |
| CVE-2021-0774 | A-184203058 | EoP | בינונית |
| CVE-2021-0775 | A-184196278 | ליש"ט | בינונית |
| CVE-2021-0777 | A-183794515 | EoP | בינונית |
| CVE-2021-0786 | A-181588735 | EoP | בינונית |
| CVE-2021-0788 | A-181148088 | EoP | בינונית |
| CVE-2021-0790 | A-180940063 | EoP | בינונית |
| CVE-2021-0815 | A-177239818 | EoP | בינונית |
| CVE-2021-0826 | A-174243774 | ליש"ט | בינונית |
| CVE-2021-0830 | A-173721846 | EoP | בינונית |
| CVE-2021-0849 | A-160153281 | EoP | בינונית |
| CVE-2021-0860 | A-137274359 | ליש"ט | בינונית |
| CVE-2021-0864 | A-115385786 | EoP | בינונית |
| CVE-2019-9428 | A-110150807 | מזהה | בינונית |
| CVE-2021-0715 | A-193032972 | מזהה | בינונית |
| CVE-2021-0718 | A-191382775 | מזהה | בינונית |
| CVE-2021-0719 | A-191307066 | מזהה | בינונית |
| CVE-2021-0723 | A-191057499 | מזהה | בינונית |
| CVE-2021-0728 | A-189862446 | מזהה | בינונית |
| CVE-2021-0729 | A-189858116 | מזהה | בינונית |
| CVE-2021-0731 | A-189122545 | מזהה | בינונית |
| CVE-2021-0732 | A-189122544 | מזהה | בינונית |
| CVE-2021-0733 | A-189122913 | מזהה | בינונית |
| CVE-2021-0738 | A-188802680 | מזהה | בינונית |
| CVE-2021-0740 | A-188420350 | מזהה | בינונית |
| CVE-2021-0741 | A-188420344 | מזהה | בינונית |
| CVE-2021-0742 | A-188218313 | מזהה | בינונית |
| CVE-2021-0744 | A-187725457 | מזהה | בינונית |
| CVE-2021-0746 | A-187043716 | מזהה | בינונית |
| CVE-2021-0747 | A-187043444 | מזהה | בינונית |
| CVE-2021-0751 | A-186113473 | מזהה | בינונית |
| CVE-2021-0752 | A-186113411 | מזהה | בינונית |
| CVE-2021-0757 | A-185513355 | מזהה | בינונית |
| CVE-2021-0760 | A-185125569 | מזהה | בינונית |
| CVE-2021-0761 | A-185124942 | מזהה | בינונית |
| CVE-2021-0763 | A-184948790 | מזהה | בינונית |
| CVE-2021-0764 | A-184851975 | מזהה | בינונית |
| CVE-2021-0765 | A-184851840 | מזהה | בינונית |
| CVE-2021-0768 | A-184745431 | מזהה | בינונית |
| CVE-2021-0770 | A-184525740 | מזהה | בינונית |
| CVE-2021-0771 | A-184525395 | מזהה | בינונית |
| CVE-2021-0772 | A-184525389 | מזהה | בינונית |
| CVE-2021-0783 | A-183122164 | מזהה | בינונית |
| CVE-2021-0784 | A-183121510 | מזהה | בינונית |
| CVE-2021-0789 | A-181012686 | מזהה | בינונית |
| CVE-2021-0800 | A-180417374 | מזהה | בינונית |
| CVE-2021-0801 | A-180104057 | מזהה | בינונית |
| CVE-2021-0803 | A-179699353 | מזהה | בינונית |
| CVE-2021-0806 | A-179047203 | מזהה | בינונית |
| CVE-2021-0807 | A-179047153 | מזהה | בינונית |
| CVE-2021-0829 | A-173806402 | מזהה | בינונית |
| CVE-2021-0836 | A-170644642 | מזהה | בינונית |
| CVE-2021-0853 | A-154917065 | מזהה | בינונית |
| CVE-2021-0863 | A-118188362 | מזהה | בינונית |
| CVE-2021-0866 | A-184658476 | מזהה | בינונית |
| CVE-2021-0949 | A-184658476 | מזהה | בינונית |
| CVE-2022-20211 | A-186404493 | מזהה | בינונית |
ספרייה
| CVE | קובצי עזר | סוג | מידת החומרה |
|---|---|---|---|
| CVE-2020-15888 | A-162128313 | ליש"ט | בינונית |
| CVE-2021-0720 | A-191303307 | מזהה | בינונית |
Media Framework
| CVE | קובצי עזר | סוג | מידת החומרה |
|---|---|---|---|
| CVE-2021-0865 | A-63104719 | EoP | רחב |
| CVE-2021-0847 | A-162602757 | RCE | בינונית |
| CVE-2021-0713 | A-193034636 | ליש"ט | בינונית |
| CVE-2021-0714 | A-193034447 | EoP | בינונית |
| CVE-2021-0716 | A-191597651 | EoP | בינונית |
| CVE-2021-0754 | A-185796676 | EoP | בינונית |
| CVE-2021-0767 | A-184845897 | EoP | בינונית |
| CVE-2021-0855 | A-150226265 | EoP | בינונית |
| CVE-2020-0127 | A-140054506 | מזהה | בינונית |
| CVE-2021-0560 | A-177433559 | מזהה | בינונית |
| CVE-2021-0758 | A-185394935 | מזהה | בינונית |
| CVE-2021-0773 | A-184430260 | מזהה | בינונית |
| CVE-2021-0787 | A-181155583 | מזהה | בינונית |
| CVE-2021-0793 | A-180800849 | מזהה | בינונית |
| CVE-2021-0794 | A-180505809 | מזהה | בינונית |
| CVE-2021-0814 | A-177617358 | מזהה | בינונית |
| CVE-2021-0821 | A-176098418 | מזהה | בינונית |
| CVE-2021-0848 | A-160187491 | מזהה | בינונית |
| CVE-2021-0813 | A-177699292 | מניעת שירות (DoS) | בינונית |
| CVE-2021-0835 | A-171069556 | מניעת שירות (DoS) | בינונית |
| CVE-2021-0839 | A-170374298 | מניעת שירות (DoS) | בינונית |
מערכת
| CVE | קובצי עזר | סוג | מידת החומרה |
|---|---|---|---|
| CVE-2021-0739 | A-188673156 | RCE | קריטי |
| CVE-2021-0802 | A-179998316 | RCE | קריטי |
| CVE-2021-0766 | A-184850593 | EoP | רחב |
| CVE-2021-0782 | A-183407347 | EoP | רחב |
| CVE-2021-0850 | A-159021520 | EoP | רחב |
| CVE-2021-0724 | A-191051260 | מזהה | רחב |
| CVE-2021-0851 | A-157233955 | מזהה | רחב |
| CVE-2021-0859 | A-137733370 | מזהה | רחב |
| CVE-2021-0861 | A-131355925 | מזהה | רחב |
| CVE-2021-0857 | A-145826745 | RCE | בינונית |
| CVE-2020-0436 | A-159371107 | EoP | בינונית |
| CVE-2021-0710 | A-194340135 | EoP | בינונית |
| CVE-2021-0722 | A-191174082 | EoP | בינונית |
| CVE-2021-0730 | A-189332346 | EoP | בינונית |
| CVE-2021-0743 | A-188041356 | EoP | בינונית |
| CVE-2021-0759 | A-185191546 | EoP | בינונית |
| CVE-2021-0776 | A-183954797 | EoP | בינונית |
| CVE-2021-0778 | A-183710549 | EoP | בינונית |
| CVE-2021-0781 | A-183407956 | ליש"ט | בינונית |
| CVE-2021-0785 | A-182283321 | ליש"ט | בינונית |
| CVE-2021-0805 | A-179047632 | EoP | בינונית |
| CVE-2021-0837 | A-170643285 | ליש"ט | בינונית |
| CVE-2021-0841 | A-170309116 | ליש"ט | בינונית |
| CVE-2021-0842 | A-169851269 | EoP | בינונית |
| CVE-2021-0843 | A-168903827 | EoP | בינונית |
| CVE-2021-0950 | A-182155296 | EoP | בינונית |
| CVE-2021-0711 | A-193436376 | מזהה | בינונית |
| CVE-2021-0712 | A-193434069 | מזהה | בינונית |
| CVE-2021-0717 | A-191487797 | מזהה | בינונית |
| CVE-2021-0721 | A-191276693 | מזהה | בינונית |
| CVE-2021-0725 | A-190619620 | מזהה | בינונית |
| CVE-2021-0745 | A-187709482 | מזהה | בינונית |
| CVE-2021-0753 | A-186006753 | מזהה | בינונית |
| CVE-2021-0755 | A-185591473 | מזהה | בינונית |
| CVE-2021-0756 | A-185513628 | מזהה | בינונית |
| CVE-2021-0779 | A-183633542 | מזהה | בינונית |
| CVE-2021-0780 | A-183410189 | מזהה | בינונית |
| CVE-2021-0791 | A-180939433 | מזהה | בינונית |
| CVE-2021-0792 | A-180938364 | מזהה | בינונית |
| CVE-2021-0795 | A-180422331 | מזהה | בינונית |
| CVE-2021-0812 | A-178189576 | מזהה | בינונית |
| CVE-2021-0817 | A-176582502 | מזהה | בינונית |
| CVE-2021-0818 | A-176446340 | מזהה | בינונית |
| CVE-2021-0819 | A-176203800 | מזהה | בינונית |
| CVE-2021-0820 | A-176168040 | מזהה | בינונית |
| CVE-2021-0823 | A-174573778 | מזהה | בינונית |
| CVE-2021-0827 | A-174151290 | מזהה | בינונית |
| CVE-2021-0831 | A-173122149 | מזהה | בינונית |
| CVE-2021-0832 | A-172839851 | מזהה | בינונית |
| CVE-2021-0834 | A-172670679 | מזהה | בינונית |
| CVE-2021-0838 | A-170491114 | מזהה | בינונית |
| CVE-2021-0840 | A-170309700 | מזהה | בינונית |
| CVE-2021-0844 | A-168712382 | מזהה | בינונית |
| CVE-2021-0852 | A-156096455 | מזהה | בינונית |
| CVE-2021-0854 | A-154501976 | מזהה | בינונית |
| CVE-2021-0890 | A-190757775 | מזהה | בינונית |
| CVE-2021-0796 | A-180421437 | מניעת שירות (DoS) | בינונית |
| CVE-2021-0797 | A-180421044 | מניעת שירות (DoS) | בינונית |
| CVE-2021-0798 | A-180421035 | מניעת שירות (DoS) | בינונית |
| CVE-2021-0804 | A-179162240 | מניעת שירות (DoS) | בינונית |
| CVE-2021-0816 | A-177047996 | מניעת שירות (DoS) | בינונית |
| CVE-2021-0822 | A-175895723 | מניעת שירות (DoS) | בינונית |
| CVE-2021-0824 | A-174495119 | מניעת שירות (DoS) | בינונית |
| CVE-2021-0886 | A-182163258 | מניעת שירות (DoS) | בינונית |
שאלות נפוצות ותשובות
בקטע הזה נענה על שאלות נפוצות שעשויות להתעורר אחרי קריאת העדכון.
1. איך אפשר לדעת אם המכשיר מעודכן כדי לטפל בבעיות האלה?
במאמר בדיקת גרסת Android ועדכון שלה מוסבר איך בודקים את רמת תיקון האבטחה של המכשיר.
ב-Android 12, כפי שהוא שוחרר ב-AOSP, רמת תיקון האבטחה שמוגדרת כברירת מחדל היא 01 באוקטובר 2021. במכשירי Android עם Android 12 ורמת תיקון אבטחה של 1 באוקטובר 2021 ואילך, נפתרות כל הבעיות שמפורטות במסמך זה בנושא תיקוני אבטחה.
2. מה המשמעות של הרשומות בעמודה Type?
הרשומות בעמודה Type בטבלת פרטי נקודת החולשה מתייחסות לסיווג של נקודת החולשה באבטחה.
| קיצור | הגדרה |
|---|---|
| RCE | ביצוע קוד מרחוק |
| EoP | הסלמת הרשאות |
| מזהה | חשיפת מידע |
| מניעת שירות (DoS) | התקפת מניעת שירות (DoS) |
| לא רלוונטי | הסיווג לא זמין |
3. מה המשמעות של הרשומות בעמודה References?
רשומות בעמודה References בטבלת פרטי נקודת החולשה עשויות להכיל קידומת שמזהה את הארגון שאליו שייך ערך ההפניה.
| תחילית | חומרי עזר |
|---|---|
| A- | מזהה הבאג ב-Android |
גרסאות
| גרסה | תאריך | הערות |
|---|---|---|
| 1.0 | 20 בספטמבר 2021 | פורסמו נתוני הגרסה של עדכוני האבטחה |
| 1.1 | 1 באוקטובר 2021 | רשימת הבעיות עודכנה |
| 1.2 | 9 בנובמבר 2021 | רשימת הבעיות עודכנה |
| 1.3 | 12 בנובמבר 2021 | רשימת הבעיות המעודכנת |
| 1.4 | 25 באפריל 2022 | רשימת הבעיות המעודכנת |