این یادداشتهای انتشار امنیتی اندروید شامل جزئیاتی از آسیبپذیریهای امنیتی مؤثر بر دستگاههای اندروید است که به عنوان بخشی از اندروید ۱۲L برطرف شدهاند. دستگاههای اندروید ۱۲L با سطح وصله امنیتی ۲۰۲۲-۰۳-۰۱ یا بالاتر در برابر این مشکلات محافظت میشوند (اندروید ۱۲L، همانطور که در AOSP منتشر شده است، دارای سطح وصله امنیتی پیشفرض ۲۰۲۲-۰۳-۰۱ است). برای یادگیری نحوه بررسی سطح وصله امنیتی دستگاه، به بخش «بررسی و بهروزرسانی نسخه اندروید» مراجعه کنید.
شرکای اندروید قبل از انتشار از تمام مشکلات مطلع میشوند. وصلههای کد منبع برای این مشکلات به عنوان بخشی از نسخه اندروید ۱۲L در مخزن پروژه متنباز اندروید (AOSP) منتشر میشوند.
ارزیابی شدت مشکلات در این یادداشتهای انتشار، بر اساس تأثیری است که سوءاستفاده از این آسیبپذیری میتواند بر روی دستگاه آسیبدیده داشته باشد، با فرض اینکه اقدامات کاهش آسیبپذیری پلتفرم و سرویس برای اهداف توسعه غیرفعال شده باشند یا با موفقیت دور زده شوند.
ما هیچ گزارشی مبنی بر سوءاستفاده یا بهرهبرداری فعال مشتریان از این مشکلات تازه گزارششده نداشتهایم. برای جزئیات بیشتر در مورد محافظتهای پلتفرم امنیتی اندروید و Google Play Protect که امنیت پلتفرم اندروید را بهبود میبخشند، به بخش راهکارهای کاهش آسیبپذیری Android و Google Play Protect مراجعه کنید.
اطلاعیهها
- مشکلات شرح داده شده در این سند به عنوان بخشی از اندروید ۱۲L مورد بررسی قرار گرفتهاند. این اطلاعات صرفاً جهت اطلاع و شفافسازی ارائه شده است.
- ما مایلیم از جامعهی تحقیقات امنیتی به خاطر مشارکتهای مستمرشان در جهت ایمنسازی اکوسیستم اندروید، قدردانی و تشکر کنیم .
راهکارهای کاهش خطرات اندروید و سرویسهای گوگل
این خلاصهای از راهکارهای کاهش خطرات ارائه شده توسط پلتفرم امنیتی اندروید و سرویسهای محافظتی مانند Google Play Protect است. این قابلیتها احتمال سوءاستفاده موفقیتآمیز از آسیبپذیریهای امنیتی در اندروید را کاهش میدهند.
- سوءاستفاده از بسیاری از مشکلات در اندروید با پیشرفتهای نسخههای جدیدتر پلتفرم اندروید دشوارتر شده است. ما به همه کاربران توصیه میکنیم در صورت امکان، آخرین نسخه اندروید را بهروزرسانی کنند.
- تیم امنیتی اندروید به طور فعال از طریق Google Play Protect سوءاستفادهها را رصد میکند و به کاربران در مورد برنامههای بالقوه مضر هشدار میدهد. Google Play Protect به طور پیشفرض در دستگاههایی با سرویسهای موبایل گوگل فعال است و به ویژه برای کاربرانی که برنامهها را از خارج از Google Play نصب میکنند، بسیار مهم است.
جزئیات آسیبپذیری اندروید ۱۲L
بخشهای زیر جزئیات آسیبپذیریهای امنیتی رفعشده به عنوان بخشی از اندروید ۱۲L را ارائه میدهند. آسیبپذیریها تحت مؤلفهای که تحت تأثیر قرار میدهند گروهبندی شدهاند و شامل جزئیاتی مانند CVE، منابع مرتبط، نوع آسیبپذیری و شدت آن میشوند.
چارچوب
| سی وی ای | منابع | نوع | شدت |
|---|---|---|---|
| CVE-2021-39749 | الف-۲۰۵۹۹۶۱۱۵ | ای او پی | بالا |
| CVE-2021-39743 | الف-۲۰۱۵۳۴۸۸۴ | ای او پی | متوسط |
| CVE-2021-39746 | الف-۱۹۴۶۹۶۳۹۵ | ای او پی | متوسط |
| CVE-2021-39750 | الف-۲۰۶۴۷۴۰۱۶ | ای او پی | متوسط |
| CVE-2021-39752 | الف-۲۰۲۷۵۶۸۴۸ | ای او پی | متوسط |
| CVE-2022-20002 | الف-۱۹۸۶۵۷۶۵۵۷ | ای او پی | متوسط |
| CVE-2022-20203 | الف-۱۹۹۷۴۵۹۰۸ | ای او پی | متوسط |
| CVE-2021-39744 | الف-۱۹۲۳۶۹۱۳۶ | شناسه | متوسط |
| CVE-2021-39745 | الف-۲۰۶۱۲۷۶۷۱ | شناسه | متوسط |
| CVE-2021-39747 | الف-۲۰۸۲۶۸۴۵۷ | شناسه | متوسط |
| CVE-2021-39748 | الف-۲۰۳۷۷۷۱۴۱ | شناسه | متوسط |
| CVE-2021-39751 | الف-۱۷۲۸۳۸۸۰۱ | شناسه | متوسط |
| CVE-2021-39753 | الف-۲۰۰۰۳۵۱۸۵ | شناسه | متوسط |
| CVE-2021-39755 | الف-۲۰۴۹۹۵۴۰۷ | شناسه | متوسط |
| CVE-2021-39756 | الف-۱۸۴۳۵۴۲۸۷ | شناسه | متوسط |
| CVE-2021-39757 | الف-۱۷۶۰۹۴۶۶۲ | شناسه | متوسط |
| CVE-2021-39754 | الف-۲۰۷۱۳۷۰۹ | ناشناخته | ناشناخته |
چارچوب رسانهای
| سی وی ای | منابع | نوع | شدت |
|---|---|---|---|
| CVE-2021-39759 | الف-۱۸۰۲۰۰۸۳۰ | ای او پی | متوسط |
| CVE-2021-39760 | الف-۱۹۴۱۱۰۵۲۶ | شناسه | متوسط |
| CVE-2021-39761 | الف-۱۷۹۷۸۳۱۸۱ | شناسه | متوسط |
| CVE-2021-39762 | الف-۲۱۰۶۲۵۸۱۶ | شناسه | متوسط |
پلتفرم
| سی وی ای | منابع | نوع | شدت |
|---|---|---|---|
| CVE-2021-39741 | الف-۱۷۳۵۶۷۷۱۹۹ | ای او پی | متوسط |
| CVE-2021-39763 | الف-۱۹۹۱۷۶۱۱۵ | ای او پی | متوسط |
| CVE-2021-39764 | الف-۱۷۰۶۴۲۹۹۵ | ای او پی | متوسط |
| CVE-2021-39767 | الف-۲۰۱۳۰۸۵۴۲ | ای او پی | متوسط |
| CVE-2021-39768 | الف-۲۰۲۰۱۷۸۷۶ | ای او پی | متوسط |
| CVE-2021-39771 | الف-۱۹۸۶۶۱۹۵۱ | ای او پی | متوسط |
| CVE-2021-25393 | الف-180518134 | شناسه | متوسط |
| CVE-2021-39739 | الف-۱۸۴۵۲۵۱۹۴ | شناسه | متوسط |
| CVE-2021-39740 | الف-۲۰۹۹۶۵۱۱۲ | شناسه | متوسط |
| CVE-2021-39742 | الف-۱۸۶۴۰۵۶۰۲ | شناسه | متوسط |
| CVE-2021-39765 | الف-۲۰۱۵۳۵۴۲۷ | شناسه | متوسط |
| CVE-2021-39766 | الف-۱۹۸۲۹۶۴۲۱ | شناسه | متوسط |
| CVE-2021-39769 | الف-۱۹۳۶۶۳۲۸۷ | شناسه | متوسط |
| CVE-2021-39770 | الف-۱۹۳۰۳۳۵۰۱ | شناسه | متوسط |
سیستم
| سی وی ای | منابع | نوع | شدت |
|---|---|---|---|
| CVE-2021-39776 | الف-۱۹۲۶۱۴۱۲۵ | ای او پی | بالا |
| CVE-2021-39787 | الف-۲۰۲۵۰۶۹۳۴ | ای او پی | بالا |
| CVE-2021-39772 | الف-۱۸۱۹۶۲۳۲۲ | ای او پی | متوسط |
| CVE-2021-39780 | الف-۲۰۴۹۹۲۲۹۳ | ای او پی | متوسط |
| CVE-2021-39781 | الف-۱۹۵۳۱۱۵۰۲ | ای او پی | متوسط |
| CVE-2021-39782 | الف-۲۰۲۷۶۰۰۱۵ | ای او پی | متوسط |
| CVE-2021-39783 | الف-۱۹۷۹۶۰۵۹۷ | ای او پی | متوسط |
| CVE-2021-39784 | الف-۲۰۰۱۶۳۴۷۷ | ای او پی | متوسط |
| CVE-2021-39786 | الف-۱۹۲۵۵۱۲۴۷ | ای او پی | متوسط |
| CVE-2021-39789 | الف-۲۰۳۸۸۰۹۰۶ | ای او پی | متوسط |
| CVE-2021-39790 | الف-۱۸۶۴۰۵۱۴۶ | ای او پی | متوسط |
| CVE-2021-39773 | الف-۱۹۱۲۷۶۶۵۶ | شناسه | متوسط |
| CVE-2021-39775 | الف-۲۰۶۴۶۵۸۵۴ | شناسه | متوسط |
| CVE-2021-39777 | الف-۱۹۴۷۴۳۲۰۷ | شناسه | متوسط |
| CVE-2021-39778 | الف-۱۹۶۴۰۶۱۳۸ | شناسه | متوسط |
| CVE-2021-39779 | الف-۱۹۰۴۰۰۹۷۴ | شناسه | متوسط |
| CVE-2021-39788 | الف-۱۹۱۷۶۸۰۱۴۴ | شناسه | متوسط |
| CVE-2021-39791 | الف-۱۹۴۱۱۲۶۰۶ | شناسه | متوسط |
| CVE-2021-39774 | الف-۲۰۵۹۸۹۴۷۲ | داس | متوسط |
جزئیات بیشتر آسیبپذیری
بخش زیر جزئیاتی در مورد آسیبپذیریهای امنیتی که برای اهداف افشا ارائه میشوند، ارائه میدهد. این مسائل برای انطباق با SPL الزامی نیستند.
تلویزیون اندروید
| سی وی ای | منابع | نوع | شدت |
|---|---|---|---|
| CVE-2021-1000 | الف-۱۸۵۱۹۰۶۸۸ | ای او پی | متوسط |
| CVE-2021-1033 | الف-۱۸۵۲۴۷۶۵۶ | ای او پی | متوسط |
سوالات و پاسخهای رایج
این بخش به سوالات متداولی که ممکن است پس از خواندن این بولتن برای شما پیش بیاید، پاسخ میدهد.
۱. چگونه میتوانم تشخیص دهم که آیا دستگاه من برای رفع این مشکلات بهروزرسانی شده است یا خیر؟
برای آشنایی با نحوه بررسی سطح وصله امنیتی دستگاه، به بخش «بررسی و بهروزرسانی نسخه اندروید» مراجعه کنید.
اندروید ۱۲L، همانطور که در AOSP منتشر شده است، دارای سطح وصله امنیتی پیشفرض ۲۰۲۲-۰۳-۰۱ است. دستگاههای اندرویدی که اندروید ۱۲L را اجرا میکنند و سطح وصله امنیتی ۲۰۲۲-۰۳-۰۱ یا بالاتر دارند، تمام مشکلات موجود در این یادداشتهای انتشار امنیتی را برطرف میکنند.
۲. منظور از ورودیهای ستون Type چیست؟
ورودیهای ستون نوع جدول جزئیات آسیبپذیری، طبقهبندی آسیبپذیری امنیتی را نشان میدهند.
| اختصار | تعریف |
|---|---|
| آر سی ای | اجرای کد از راه دور |
| ای او پی | ارتقاء امتیاز |
| شناسه | افشای اطلاعات |
| داس | عدم ارائه خدمات |
| ناموجود | طبقه بندی موجود نیست |
۳. منظور از ورودیهای ستون منابع چیست؟
ورودیهای زیر ستون References در جدول جزئیات آسیبپذیری ممکن است حاوی پیشوندی باشند که سازمانی را که مقدار مرجع به آن تعلق دارد، مشخص میکند.
| پیشوند | مرجع |
|---|---|
| الف- | شناسه اشکال اندروید |
نسخهها
| نسخه | تاریخ | یادداشتها |
|---|---|---|
| ۱.۰ | ۲۲ فوریه ۲۰۲۲ | یادداشتهای انتشار امنیتی منتشر شد |
| ۱.۱ | ۲۷ مه ۲۰۲۲ | فهرست مشکلات بهروزرسانیشده |
| ۱.۲ | ۸ سپتامبر ۲۰۲۲ | فهرست مشکلات بهروزرسانیشده |