Wear OS Security Bulletin—ธันวาคม 2023

เผยแพร่เมื่อวันที่ 4 ธันวาคม 2023

กระดานข่าวความปลอดภัยของ Wear OS ประกอบด้วยรายละเอียดช่องโหว่ด้านความปลอดภัยที่ส่งผลต่อแพลตฟอร์ม Wear OS การอัปเดต Wear OS แบบเต็มประกอบด้วยระดับแพตช์ความปลอดภัย 12-05-2023 หรือใหม่กว่าจาก กระดานข่าวความปลอดภัยของ Android เดือนธันวาคม 2023 นอกเหนือจากปัญหาทั้งหมดในกระดานข่าวนี้

เราขอแนะนำให้ลูกค้าทุกคนยอมรับการอัปเดตเหล่านี้ไปยังอุปกรณ์ของตน

ปัญหาในกระดานข่าวนี้คือช่องโหว่ด้านความปลอดภัยสูงในองค์ประกอบของระบบที่อาจนำไปสู่การเพิ่มระดับสิทธิ์ในเครื่อง โดยไม่จำเป็นต้องมีสิทธิ์ในการดำเนินการเพิ่มเติม ไม่จำเป็นต้องโต้ตอบกับผู้ใช้เพื่อแสวงหาประโยชน์ การประเมินความรุนแรง นั้นขึ้นอยู่กับผลกระทบที่การใช้ประโยชน์จากช่องโหว่ที่อาจเกิดขึ้นกับอุปกรณ์ที่ได้รับผลกระทบ โดยถือว่าแพลตฟอร์มและบริการบรรเทาผลกระทบถูกปิดเพื่อวัตถุประสงค์ในการพัฒนาหรือหากข้ามได้สำเร็จ

ประกาศ

  • นอกเหนือจากช่องโหว่ด้านความปลอดภัยที่อธิบายไว้ในกระดานข่าวความปลอดภัยของ Android เดือนธันวาคม 2023 แล้ว กระดานข่าวความปลอดภัยของ Wear OS เดือนธันวาคม 2023 ยังมีแพตช์สำหรับช่องโหว่ของ Wear OS โดยเฉพาะตามที่อธิบายไว้ด้านล่าง

รายละเอียดช่องโหว่ระดับแพทช์รักษาความปลอดภัย 2023-12-01

ในส่วนด้านล่าง เราจะให้รายละเอียดเกี่ยวกับช่องโหว่ด้านความปลอดภัยแต่ละจุดที่ใช้กับระดับแพตช์ 2023-12-01 ช่องโหว่จะถูกจัดกลุ่มภายใต้องค์ประกอบที่ได้รับผลกระทบ ปัญหาต่างๆ ได้รับการอธิบายไว้ในตารางด้านล่างและรวมถึง CVE ID, ข้อมูลอ้างอิงที่เกี่ยวข้อง, ประเภทของช่องโหว่ , ความรุนแรง และเวอร์ชัน AOSP ที่อัปเดต (หากมี) เมื่อพร้อมใช้งาน เราจะเชื่อมโยงการเปลี่ยนแปลงสาธารณะที่แก้ไขปัญหากับรหัสข้อบกพร่อง เช่น รายการการเปลี่ยนแปลง AOSP เมื่อการเปลี่ยนแปลงหลายอย่างเกี่ยวข้องกับจุดบกพร่องจุดเดียว การอ้างอิงเพิ่มเติมจะเชื่อมโยงกับหมายเลขที่ตามหลังรหัสจุดบกพร่อง อุปกรณ์ที่ใช้ Android 10 ขึ้นไปอาจได้รับการอัปเดตด้านความปลอดภัย รวมถึง การอัปเดตระบบ Google Play

ระบบ

ช่องโหว่ในส่วนนี้อาจนำไปสู่การเพิ่มระดับสิทธิ์ในพื้นที่โดยไม่ต้องมีสิทธิ์ดำเนินการเพิ่มเติม ไม่จำเป็นต้องโต้ตอบกับผู้ใช้เพื่อแสวงหาประโยชน์
ซีวีอี อ้างอิง พิมพ์ ความรุนแรง อัปเดตเวอร์ชัน AOSP
CVE-2023-40094 A-307719731 อีโอพี สูง 11, 13

คำถามและคำตอบทั่วไป

ส่วนนี้จะตอบคำถามทั่วไปที่อาจเกิดขึ้นหลังจากอ่านกระดานข่าวนี้

1. ฉันจะทราบได้อย่างไรว่าอุปกรณ์ของฉันได้รับการอัปเดตเพื่อแก้ไขปัญหาเหล่านี้หรือไม่

หากต้องการเรียนรู้วิธีตรวจสอบระดับแพตช์ความปลอดภัยของอุปกรณ์ โปรดอ่านคำแนะนำใน กำหนดการอัปเดตอุปกรณ์ Google

  • ระดับแพตช์ความปลอดภัยปี 2023-12-01 หรือใหม่กว่าจะแก้ไขปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัยปี 2023-12-01

ผู้ผลิตอุปกรณ์ที่มีการอัปเดตเหล่านี้ควรตั้งค่าระดับสตริงโปรแกรมแก้ไขเป็น:

  • [ro.build.version.security_patch]:[2023-12-01]

สำหรับอุปกรณ์บางรุ่นที่ใช้ Android 10 หรือใหม่กว่า การอัปเดตระบบ Google Play จะมีสตริงวันที่ที่ตรงกับระดับแพตช์ความปลอดภัย 2023-12-01 โปรดดู บทความนี้ สำหรับรายละเอียดเพิ่มเติมเกี่ยวกับวิธีการติดตั้งการอัปเดตความปลอดภัย

2. รายการในคอลัมน์ ประเภท หมายถึงอะไร

รายการในคอลัมน์ ประเภท ของตารางรายละเอียดช่องโหว่อ้างอิงถึงการจัดประเภทของช่องโหว่ด้านความปลอดภัย

คำย่อ คำนิยาม
อาร์ซีอี การเรียกใช้โค้ดจากระยะไกล
อีโอพี การยกระดับสิทธิพิเศษ
บัตรประจำตัวประชาชน การเปิดเผยข้อมูล
ดอส การปฏิเสธการให้บริการ
ไม่มี ไม่มีการจำแนกประเภท

3. รายการในคอลัมน์ อ้างอิง หมายถึงอะไร

รายการภายใต้คอลัมน์ การอ้างอิง ของตารางรายละเอียดช่องโหว่อาจมีคำนำหน้าที่ระบุองค์กรที่เป็นเจ้าของค่าอ้างอิง

คำนำหน้า อ้างอิง
เอ- รหัสข้อบกพร่องของ Android
การควบคุมคุณภาพ- หมายเลขอ้างอิงควอลคอมม์
เอ็ม- หมายเลขอ้างอิง MediaTek
น- หมายเลขอ้างอิง NVIDIA
ข- หมายเลขอ้างอิงของ Broadcom
ยู- หมายเลขอ้างอิง UNISOC

4. * ถัดจาก ID บั๊กของ Android ในคอลัมน์ References หมายความว่าอย่างไร

ปัญหาที่ไม่เปิดเผยต่อสาธารณะจะมี * ถัดจากรหัสอ้างอิงที่เกี่ยวข้อง โดยทั่วไปการอัปเดตสำหรับปัญหาดังกล่าวจะอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Pixel ที่พร้อมใช้งานจาก ไซต์ Google Developer

5. เหตุใดช่องโหว่ด้านความปลอดภัยจึงถูกแยกระหว่างกระดานข่าวนี้และกระดานข่าวความปลอดภัยของอุปกรณ์ / พันธมิตร เช่น กระดานข่าว Pixel

ช่องโหว่ด้านความปลอดภัยที่ได้รับการบันทึกไว้ในกระดานข่าวความปลอดภัยนี้จำเป็นต้องประกาศระดับแพตช์ความปลอดภัยล่าสุดบนอุปกรณ์ Android ช่องโหว่ด้านความปลอดภัยเพิ่มเติมที่บันทึกไว้ในกระดานข่าวความปลอดภัยของอุปกรณ์ / พันธมิตรไม่จำเป็นสำหรับการประกาศระดับแพตช์ความปลอดภัย ผู้ผลิตอุปกรณ์ Android และชิปเซ็ตอาจเผยแพร่รายละเอียดช่องโหว่ด้านความปลอดภัยสำหรับผลิตภัณฑ์ของตนโดยเฉพาะ เช่น Google , Huawei , LGE , Motorola , Nokia หรือ Samsung

รุ่นต่างๆ

เวอร์ชัน วันที่ หมายเหตุ
1.0 4 ธันวาคม 2023 เผยแพร่กระดานข่าวแล้ว