เผยแพร่เมื่อวันที่ 7 สิงหาคม 2023
กระดานข่าวความปลอดภัยของ Wear OS ประกอบด้วยรายละเอียดช่องโหว่ด้านความปลอดภัยที่ส่งผลต่อแพลตฟอร์ม Wear OS การอัปเดต Wear OS แบบเต็มประกอบด้วยระดับแพตช์ความปลอดภัย 05-08-2023 หรือใหม่กว่าจาก กระดานข่าวความปลอดภัยของ Android เดือนสิงหาคม 2023 นอกเหนือจากปัญหาทั้งหมดในกระดานข่าวนี้
เราขอแนะนำให้ลูกค้าทุกคนยอมรับการอัปเดตเหล่านี้ไปยังอุปกรณ์ของตน
ปัญหาที่ร้ายแรงที่สุดของปัญหาเหล่านี้คือช่องโหว่ด้านความปลอดภัยสูงในคอมโพเนนต์ของ Framework ที่อาจนำไปสู่การเพิ่มระดับสิทธิ์ในเครื่องโดยไม่จำเป็นต้องมีสิทธิ์ในการดำเนินการเพิ่มเติม ไม่จำเป็นต้องโต้ตอบกับผู้ใช้เพื่อแสวงหาประโยชน์ การประเมินความรุนแรง นั้นขึ้นอยู่กับผลกระทบที่การใช้ประโยชน์จากช่องโหว่ที่อาจเกิดขึ้นกับอุปกรณ์ที่ได้รับผลกระทบ โดยถือว่าแพลตฟอร์มและบริการบรรเทาผลกระทบถูกปิดเพื่อวัตถุประสงค์ในการพัฒนาหรือหากข้ามได้สำเร็จ
ประกาศ
- นอกเหนือจากช่องโหว่ด้านความปลอดภัยที่อธิบายไว้ในกระดานข่าวความปลอดภัยของ Android เดือนสิงหาคม 2023 แล้ว กระดานข่าวความปลอดภัยของ Wear OS เดือนสิงหาคม 2023 ยังมีแพตช์สำหรับช่องโหว่ของ Wear OS โดยเฉพาะตามที่อธิบายไว้ด้านล่าง
รายละเอียดช่องโหว่ระดับแพตช์รักษาความปลอดภัย 08-08-2023
ในส่วนด้านล่าง เราจะให้รายละเอียดเกี่ยวกับช่องโหว่ด้านความปลอดภัยแต่ละจุดที่ใช้กับระดับแพตช์ 2023-08-01 ช่องโหว่จะถูกจัดกลุ่มภายใต้องค์ประกอบที่ได้รับผลกระทบ ปัญหาต่างๆ ได้รับการอธิบายไว้ในตารางด้านล่างและรวมถึง CVE ID, ข้อมูลอ้างอิงที่เกี่ยวข้อง, ประเภทของช่องโหว่ , ความรุนแรง และเวอร์ชัน AOSP ที่อัปเดต (หากมี) เมื่อพร้อมใช้งาน เราจะเชื่อมโยงการเปลี่ยนแปลงสาธารณะที่แก้ไขปัญหากับรหัสข้อบกพร่อง เช่น รายการการเปลี่ยนแปลง AOSP เมื่อการเปลี่ยนแปลงหลายอย่างเกี่ยวข้องกับจุดบกพร่องจุดเดียว การอ้างอิงเพิ่มเติมจะเชื่อมโยงกับหมายเลขที่ตามหลังรหัสจุดบกพร่อง อุปกรณ์ที่ใช้ Android 10 ขึ้นไปอาจได้รับการอัปเดตด้านความปลอดภัย รวมถึง การอัปเดตระบบ Google Play
กรอบ
ช่องโหว่ในส่วนนี้อาจนำไปสู่การเพิ่มระดับสิทธิ์ในพื้นที่โดยไม่ต้องมีสิทธิ์ดำเนินการเพิ่มเติม ไม่จำเป็นต้องโต้ตอบกับผู้ใช้เพื่อแสวงหาประโยชน์| ซีวีอี | อ้างอิง | พิมพ์ | ความรุนแรง | อัปเดตเวอร์ชัน AOSP |
|---|---|---|---|---|
| CVE-2023-21229 | A-265431830 | อีโอพี | สูง | 11, 13 |
แพลตฟอร์ม
ช่องโหว่ในส่วนนี้อาจนำไปสู่การเปิดเผยข้อมูลภายในเครื่องโดยไม่ต้องมีสิทธิ์ดำเนินการเพิ่มเติม ไม่จำเป็นต้องโต้ตอบกับผู้ใช้เพื่อแสวงหาประโยชน์| ซีวีอี | อ้างอิง | พิมพ์ | ความรุนแรง | อัปเดตเวอร์ชัน AOSP |
|---|---|---|---|---|
| CVE-2023-21230 | A-191680486 | บัตรประจำตัวประชาชน | สูง | 11, 13 |
ระบบ
ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจนำไปสู่การเพิ่มระดับสิทธิ์ในเครื่อง โดยไม่จำเป็นต้องมีสิทธิ์ในการดำเนินการเพิ่มเติม ไม่จำเป็นต้องโต้ตอบกับผู้ใช้เพื่อแสวงหาประโยชน์| ซีวีอี | อ้างอิง | พิมพ์ | ความรุนแรง | อัปเดตเวอร์ชัน AOSP |
|---|---|---|---|---|
| CVE-2023-21231 | A-187307530 | อีโอพี | สูง | 13 |
| CVE-2023-21234 | A-260859883 | อีโอพี | สูง | 11, 13 |
| CVE-2023-21235 | A-133761964 | อีโอพี | สูง | 11, 13 |
| CVE-2023-35689 | A-265474852 | อีโอพี | สูง | 11, 13 |
| CVE-2023-21232 | A-267251033 | บัตรประจำตัวประชาชน | สูง | 11, 13 |
| CVE-2023-21233 | A-261073851 | บัตรประจำตัวประชาชน | สูง | 11 |
คำถามและคำตอบทั่วไป
ส่วนนี้จะตอบคำถามทั่วไปที่อาจเกิดขึ้นหลังจากอ่านกระดานข่าวนี้
1. ฉันจะทราบได้อย่างไรว่าอุปกรณ์ของฉันได้รับการอัปเดตเพื่อแก้ไขปัญหาเหล่านี้หรือไม่
หากต้องการเรียนรู้วิธีตรวจสอบระดับแพตช์ความปลอดภัยของอุปกรณ์ โปรดอ่านคำแนะนำใน กำหนดการอัปเดตอุปกรณ์ Google
- ระดับแพตช์รักษาความปลอดภัยปี 2023-08-01 หรือใหม่กว่าจะแก้ไขปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัยปี 2023-08-01
สำหรับอุปกรณ์บางรุ่นที่ใช้ Android 10 หรือใหม่กว่า การอัปเดตระบบ Google Play จะมีสตริงวันที่ที่ตรงกับระดับแพตช์ความปลอดภัย 2023-08-01 โปรดดู บทความนี้ สำหรับรายละเอียดเพิ่มเติมเกี่ยวกับวิธีการติดตั้งการอัปเดตความปลอดภัย
2. รายการในคอลัมน์ ประเภท หมายถึงอะไร
รายการในคอลัมน์ ประเภท ของตารางรายละเอียดช่องโหว่อ้างอิงถึงการจัดประเภทของช่องโหว่ด้านความปลอดภัย
| คำย่อ | คำนิยาม |
|---|---|
| อาร์ซีอี | การเรียกใช้โค้ดจากระยะไกล |
| อีโอพี | การยกระดับสิทธิพิเศษ |
| บัตรประจำตัวประชาชน | การเปิดเผยข้อมูล |
| ดอส | การปฏิเสธการให้บริการ |
| ไม่มี | ไม่มีการจำแนกประเภท |
3. รายการในคอลัมน์ อ้างอิง หมายถึงอะไร
รายการภายใต้คอลัมน์ การอ้างอิง ของตารางรายละเอียดช่องโหว่อาจมีคำนำหน้าที่ระบุองค์กรที่เป็นเจ้าของค่าอ้างอิง
| คำนำหน้า | อ้างอิง |
|---|---|
| เอ- | รหัสข้อบกพร่องของ Android |
| การควบคุมคุณภาพ- | หมายเลขอ้างอิงควอลคอมม์ |
| เอ็ม- | หมายเลขอ้างอิง MediaTek |
| น- | หมายเลขอ้างอิง NVIDIA |
| ข- | หมายเลขอ้างอิงของ Broadcom |
| ยู- | หมายเลขอ้างอิง UNISOC |
รุ่นต่างๆ
| เวอร์ชัน | วันที่ | หมายเหตุ |
|---|---|---|
| 1.0 | 7 สิงหาคม 2023 | เผยแพร่แถลงการณ์แล้ว |
ตัวอย่างเนื้อหาและโค้ดในหน้าเว็บนี้ขึ้นอยู่กับใบอนุญาตที่อธิบายไว้ในใบอนุญาตการใช้เนื้อหา Java และ OpenJDK เป็นเครื่องหมายการค้าหรือเครื่องหมายการค้าจดทะเบียนของ Oracle และ/หรือบริษัทในเครือ
อัปเดตล่าสุด 2024-04-29 UTC