กระดานข่าวสารด้านความปลอดภัยของ Chromecast - กันยายน 2023

เผยแพร่เมื่อวันที่ 25 กันยายน 2023 | อัปเดตเมื่อวันที่ 29 กันยายน 2023

กระดานข่าวสารด้านความปลอดภัยของ Chromecast มีรายละเอียดของช่องโหว่ด้านความปลอดภัย ที่ส่งผลกระทบต่อ อุปกรณ์ Chromecast พร้อม Google TV ที่รองรับ (อุปกรณ์ Chromecast) สำหรับอุปกรณ์ Chromecast ระดับแพตช์ความปลอดภัยของวันที่ 2023-07-01 หรือหลังจากนั้น จะแก้ปัญหาที่เกี่ยวข้องทั้งหมดในประกาศข่าวสารด้านความปลอดภัยของ Android ประจำเดือนกรกฎาคม 2023และปัญหาทั้งหมดในประกาศนี้ หากต้องการดูวิธีตรวจสอบระดับแพตช์ด้านความปลอดภัยของอุปกรณ์ โปรดดูเวอร์ชันเฟิร์มแวร์ของ Chromecast และบันทึกประจำรุ่น

อุปกรณ์ Chromecast ที่รองรับทั้งหมดจะได้รับการอัปเดตเป็น ระดับแพตช์ 2023-07-01 เราขอแนะนำให้ลูกค้าทุกราย ยอมรับการอัปเดตเหล่านี้ในอุปกรณ์

ประกาศ

  • นอกจากช่องโหว่ด้านความปลอดภัยที่อธิบายไว้ในกระดานข่าวสารด้านความปลอดภัยของ Android เดือนกรกฎาคม 2023 แล้ว อุปกรณ์ Chromecast ยังมีแพตช์สำหรับช่องโหว่ด้านความปลอดภัยที่อธิบายไว้ด้านล่างด้วย

แพตช์ความปลอดภัย

ระบบจะแบ่งประเภทช่องโหว่ตามคอมโพเนนต์ที่ได้รับผลกระทบ โดยมี คำอธิบาย ปัญหาและตารางที่แสดง CVE, ข้อมูลอ้างอิงที่เกี่ยวข้อง, ประเภทของช่องโหว่, ความรุนแรง และเวอร์ชันที่อัปเดตของโครงการโอเพนซอร์ส Android (AOSP) (หากมี) หากมี เราจะลิงก์การเปลี่ยนแปลงแบบสาธารณะที่แก้ไขปัญหาไปยังรหัสข้อบกพร่อง เช่น รายการการเปลี่ยนแปลง AOSP เมื่อการเปลี่ยนแปลงหลายรายการเกี่ยวข้องกับข้อบกพร่องเดียว ระบบจะลิงก์ข้อมูลอ้างอิงเพิ่มเติมกับหมายเลขที่ต่อท้ายรหัสข้อบกพร่อง

AMLogic

CVE ข้อมูลอ้างอิง ความรุนแรง องค์ประกอบย่อย
CVE-2022-42536 A-258698524 สูง Secure Monitor
CVE-2022-42537 A-258699189 สูง Secure Monitor
CVE-2022-42541 A-258698507 สูง Secure Monitor
CVE-2022-42538 A-258698938 สูง Secure Monitor
CVE-2022-42540 A-258699554 สูง Secure Monitor
CVE-2022-42539 A-258699550 สูง Secure Monitor

แพตช์ฟังก์ชัน

ดูรายละเอียดเกี่ยวกับการแก้ไขข้อบกพร่องและแพตช์การทำงานใหม่ๆ ที่รวมอยู่ในการเปิดตัวนี้ได้ที่เวอร์ชันเฟิร์มแวร์ของ Chromecast และบันทึกประจำรุ่น

การยอมรับ

ทีมรักษาความปลอดภัยของ Chromecast ขอขอบคุณบุคคลและ หน่วยงานต่อไปนี้ที่ช่วยปรับปรุงความปลอดภัยของ Chromecast

นักวิจัย CVE
Federico Menarini จากทีม Redteam ของ Apple Media Products CVE-2022-42536,CVE-2022-42537,CVE-2022-42541,CVE-2022-42538,CVE-2022-42540,CVE-2022-42539

คำถามที่พบบ่อยและคำตอบ

ส่วนนี้จะตอบคำถามที่พบบ่อยซึ่งผู้ใช้อาจสงสัยหลังจากที่อ่านกระดานข่าวสารนี้

1. ฉันจะทราบได้อย่างไรว่าอุปกรณ์ได้รับการอัปเดตเพื่อแก้ไขปัญหาเหล่านี้แล้ว

ระดับแพตช์ด้านความปลอดภัยของวันที่ 2023-07-01 หรือหลังจากนั้นจะแก้ไขปัญหาทั้งหมดที่เกี่ยวข้อง กับระดับแพตช์ด้านความปลอดภัยของวันที่ 2023-07-01 และระดับแพตช์ก่อนหน้าทั้งหมด ดูวิธีตรวจสอบระดับแพตช์ความปลอดภัยของอุปกรณ์ได้ในวิธีการ ใน เวอร์ชันเฟิร์มแวร์ของ Chromecast และบันทึกประจำรุ่น

2. เหตุใดช่องโหว่ด้านความปลอดภัยจึงแยกอยู่ในจดหมายข่าวนี้และ จดหมายข่าวความปลอดภัยของ Android

ช่องโหว่ด้านความปลอดภัยที่บันทึกไว้ในประกาศข่าวสารด้านความปลอดภัยของ Android จำเป็นต้องประกาศระดับแพตช์ด้านความปลอดภัยล่าสุดในอุปกรณ์ Android ไม่จำเป็นต้องมีช่องโหว่ด้านความปลอดภัยเพิ่มเติม เช่น ช่องโหว่ที่บันทึกไว้ใน กระดานข่าวนี้สำหรับการประกาศระดับแพตช์ด้านความปลอดภัย

3. รายการในคอลัมน์ประเภทหมายถึงอะไร

รายการในคอลัมน์ประเภทของตารางรายละเอียดช่องโหว่ จะอ้างอิงการแยกประเภทช่องโหว่ด้านความปลอดภัย

ตัวย่อ คำจำกัดความ
RCE การดำเนินการกับโค้ดจากระยะไกล
EoP การยกระดับสิทธิ์
ID การเปิดเผยข้อมูล
DoS การปฏิเสธการให้บริการ
ไม่มี ไม่มีการแยกประเภท

4. รายการในคอลัมน์การอ้างอิงหมายถึงอะไร

รายการในคอลัมน์การอ้างอิงของตารางรายละเอียดช่องโหว่อาจมีคำนำหน้าที่ระบุองค์กรที่ค่าการอ้างอิงเป็นขององค์กรนั้น

คำนำหน้า ข้อมูลอ้างอิง
A- รหัสข้อบกพร่องของ Android

5. เครื่องหมาย * ข้างรหัสข้อบกพร่องของ Android ในคอลัมน์การอ้างอิง หมายความว่าอย่างไร

ปัญหาที่ไม่ได้เผยแพร่ต่อสาธารณะจะมีเครื่องหมาย * อยู่ข้างรหัสข้อบกพร่องของ Android ในคอลัมน์การอ้างอิง

เวอร์ชัน

เวอร์ชัน วันที่ หมายเหตุ
1.0 25 กันยายน 2023
1.1 29 กันยายน 2023 เพิ่ม CVE ของ AMLogic