הערות הגרסה בנושא אבטחה ב-Android כוללות פרטים על נקודות חולשה באבטחה שמשפיעות על מכשירי Android, שטופלו במסגרת Android 12L. מכשירי Android 12L עם תיקוני אבטחה ברמה 2022-03-01 ואילך מוגנים מפני הבעיות האלה (ב-Android 12L, כפי שפורסם ב-AOSP, רמת תיקוני האבטחה שמוגדרת כברירת מחדל היא 2022-03-01). במאמר איך בודקים ומעדכנים את גרסת Android שמותקנת במכשיר מוסבר איך בודקים את רמת תיקוני האבטחה במכשיר.
שותפי Android מקבלים הודעה על כל הבעיות לפני הפרסום. תיקוני קוד המקור לבעיות האלה פורסמו במאגר של פרויקט הקוד הפתוח של Android (AOSP) כחלק מגרסת Android 12L.
הערכת חומרת הבעיות בהערות הגרסה האלה מבוססת על ההשפעה שעלולה להיות לניצול הפגיעות במכשיר מושפע, בהנחה שהפלטפורמה והשירותים לתיקון הבעיות מושבתים למטרות פיתוח או אם נעקפו בהצלחה.
לא קיבלנו דיווחים על ניצול פעיל של לקוחות או על שימוש לרעה בבעיות החדשות שדווחו. בקטע אמצעי ההגנה של Android ו-Google Play Protect מפורטים אמצעי ההגנה של פלטפורמת האבטחה של Android ו-Google Play Protect, שמשפרים את האבטחה של פלטפורמת Android.
הודעות
- הבעיות שמתוארות במסמך הזה נפתרו במסגרת Android 12L. המידע הזה מסופק למטרות עיון ושקיפות.
- אנחנו רוצים להודות לקהילת מחקר האבטחה על התרומה המתמשכת שלה לאבטחת המערכת האקולוגית של Android.
אמצעי מניעה בשירותי Google וב-Android
זהו סיכום של אמצעי ההגנה שמוצעים על ידי פלטפורמת האבטחה של Android והגנות השירותים, כמו Google Play Protect. היכולות האלה מצמצמות את הסיכוי שנקודות חולשה באבטחה ינוצלו לרעה ב-Android.
- השיפורים בגרסאות חדשות יותר של פלטפורמת Android מקשים על ניצול של הרבה בעיות ב-Android. אנחנו ממליצים לכל המשתמשים לעדכן לגרסה האחרונה של Android, אם אפשר.
- צוות האבטחה של Android עוקב באופן פעיל אחרי התנהלות פוגעת באמצעות Google Play Protect ומזהיר את המשתמשים מפני אפליקציות שעלולות להזיק. שירות Google Play Protect מופעל כברירת מחדל במכשירים עם שירותי Google לנייד, והוא חשוב במיוחד למשתמשים שמתקינים אפליקציות ממקורות אחרים ולא מחנות Google Play.
פרטים על נקודת החולשה ב-Android 12L
בקטעים הבאים מפורטות פגיעויות אבטחה שתוקנו במסגרת Android 12L. נקודות החולשה מקובצות לפי הרכיב שהן משפיעות עליו, וכוללות פרטים כמו CVE, הפניות למקורות חיצוניים, סוג החולשה וחומרת הבעיה.
Framework
| CVE | קובצי עזר | סוג | מידת החומרה |
|---|---|---|---|
| CVE-2021-39749 | A-205996115 | EoP | גבוהה |
| CVE-2021-39743 | A-201534884 | EoP | בינוני |
| CVE-2021-39746 | A-194696395 | EoP | בינוני |
| CVE-2021-39750 | A-206474016 | EoP | בינוני |
| CVE-2021-39752 | A-202756848 | EoP | בינוני |
| CVE-2022-20002 | A-198657657 | EoP | בינוני |
| CVE-2022-20203 | A-199745908 | EoP | בינוני |
| CVE-2021-39744 | A-192369136 | מזהה | בינוני |
| CVE-2021-39745 | A-206127671 | מזהה | בינוני |
| CVE-2021-39747 | A-208268457 | מזהה | בינוני |
| CVE-2021-39748 | A-203777141 | מזהה | בינוני |
| CVE-2021-39751 | A-172838801 | מזהה | בינוני |
| CVE-2021-39753 | A-200035185 | מזהה | בינוני |
| CVE-2021-39755 | A-204995407 | מזהה | בינוני |
| CVE-2021-39756 | A-184354287 | מזהה | בינוני |
| CVE-2021-39757 | A-176094662 | מזהה | בינוני |
| CVE-2021-39754 | A-207133709 | לא ידוע | לא ידוע |
Media Framework
| CVE | קובצי עזר | סוג | מידת החומרה |
|---|---|---|---|
| CVE-2021-39759 | A-180200830 | EoP | בינוני |
| CVE-2021-39760 | A-194110526 | מזהה | בינוני |
| CVE-2021-39761 | A-179783181 | מזהה | בינוני |
| CVE-2021-39762 | A-210625816 | מזהה | בינוני |
פלטפורמה
| CVE | קובצי עזר | סוג | מידת החומרה |
|---|---|---|---|
| CVE-2021-39741 | A-173567719 | EoP | בינוני |
| CVE-2021-39763 | A-199176115 | EoP | בינוני |
| CVE-2021-39764 | A-170642995 | EoP | בינוני |
| CVE-2021-39767 | A-201308542 | EoP | בינוני |
| CVE-2021-39768 | A-202017876 | EoP | בינוני |
| CVE-2021-39771 | A-198661951 | EoP | בינוני |
| CVE-2021-25393 | A-180518134 | מזהה | בינוני |
| CVE-2021-39739 | A-184525194 | מזהה | בינוני |
| CVE-2021-39740 | A-209965112 | מזהה | בינוני |
| CVE-2021-39742 | A-186405602 | מזהה | בינוני |
| CVE-2021-39765 | A-201535427 | מזהה | בינוני |
| CVE-2021-39766 | A-198296421 | מזהה | בינוני |
| CVE-2021-39769 | A-193663287 | מזהה | בינוני |
| CVE-2021-39770 | A-193033501 | מזהה | בינוני |
מערכת
| CVE | קובצי עזר | סוג | מידת החומרה |
|---|---|---|---|
| CVE-2021-39776 | A-192614125 | EoP | גבוהה |
| CVE-2021-39787 | A-202506934 | EoP | גבוהה |
| CVE-2021-39772 | A-181962322 | EoP | בינוני |
| CVE-2021-39780 | A-204992293 | EoP | בינוני |
| CVE-2021-39781 | A-195311502 | EoP | בינוני |
| CVE-2021-39782 | A-202760015 | EoP | בינוני |
| CVE-2021-39783 | A-197960597 | EoP | בינוני |
| CVE-2021-39784 | A-200163477 | EoP | בינוני |
| CVE-2021-39786 | A-192551247 | EoP | בינוני |
| CVE-2021-39789 | A-203880906 | EoP | בינוני |
| CVE-2021-39790 | A-186405146 | EoP | בינוני |
| CVE-2021-39773 | A-191276656 | מזהה | בינוני |
| CVE-2021-39775 | A-206465854 | מזהה | בינוני |
| CVE-2021-39777 | A-194743207 | מזהה | בינוני |
| CVE-2021-39778 | A-196406138 | מזהה | בינוני |
| CVE-2021-39779 | A-190400974 | מזהה | בינוני |
| CVE-2021-39788 | A-191768014 | מזהה | בינוני |
| CVE-2021-39791 | A-194112606 | מזהה | בינוני |
| CVE-2021-39774 | A-205989472 | מניעת שירות (DoS) | בינוני |
פרטים נוספים על הפגיעות
בקטע הבא מפורטות נקודות חולשה באבטחה שמוצגות למטרות גילוי נאות. הבעיות האלה לא נדרשות לצורך עמידה בדרישות של SPL.
Android TV
| CVE | קובצי עזר | סוג | מידת החומרה |
|---|---|---|---|
| CVE-2021-1000 | A-185190688 | EoP | בינוני |
| CVE-2021-1033 | A-185247656 | EoP | בינוני |
תשובות לשאלות נפוצות
בקטע הזה תמצאו תשובות לשאלות נפוצות שיכולות לעלות אחרי שתקראו את פרטי העדכון הזה.
1. איך אפשר לבדוק אם המכשיר שלי קיבל את העדכון שפותר את הבעיות האלה?
במאמר איך בודקים ומעדכנים את גרסת Android שמותקנת במכשיר מוסבר איך בודקים את רמת תיקוני האבטחה במכשיר.
רמת תיקון האבטחה שמוגדרת כברירת מחדל ב-Android 12L, כפי שהיא מופיעה ב-AOSP, היא 2022-03-01. במכשירי Android עם Android 12L ורמת תיקון אבטחה מ-2022-03-01 ואילך, כל הבעיות שמופיעות בהערות האלה לגבי עדכון האבטחה נפתרות.
2. מה המשמעות של הערכים בעמודה סוג?
הערכים בעמודה סוג בטבלת הפרטים של נקודות החולשה מתייחסים לסיווג שלהן.
| קיצור | ההגדרה |
|---|---|
| RCE | הרצת קוד מרחוק |
| EoP | רמת הרשאה גבוהה יותר |
| ID | חשיפת מידע |
| מניעת שירות (DoS) | התקפת מניעת שירות |
| N/A | אין סיווג |
3. מה המשמעות של הערכים בעמודה הפניות למקורות חיצוניים?
מידע על הערכים בעמודה הפניות למקורות חיצוניים בטבלה של פרטי נקודות החולשה: יש מקרים שבהם לערך יש תחילית שמציינת לאיזה ארגון משויך מקור המידע החיצוני.
| תחילית | מקור המידע החיצוני |
|---|---|
| A- | מזהה הבאג ב-Android |
גרסאות
| הגרסה | תאריך | הערות |
|---|---|---|
| 1.0 | 22 בפברואר 2022 | פורסמו הערות מוצר בנושא אבטחה |
| 1.1 | 27 במאי 2022 | רשימת הבעיות עודכנה |
| 1.2 | 8 בספטמבר 2022 | רשימת הבעיות עודכנה |