กระดานข่าวสารด้านความปลอดภัยของ Wear OS มีรายละเอียดช่องโหว่ด้านความปลอดภัยที่ส่งผลกระทบต่อแพลตฟอร์ม Wear OS การอัปเดต Wear OS แบบเต็มประกอบด้วยระดับแพตช์ด้านความปลอดภัยของวันที่ 05-05-2024 หรือหลังจากนั้นจากประกาศข่าวสารด้านความปลอดภัยของ Android เดือนพฤษภาคม 2024 นอกเหนือจากปัญหาทั้งหมดในประกาศข่าวสารนี้
เราขอแนะนำให้ลูกค้าทุกรายยอมรับการอัปเดตเหล่านี้ในอุปกรณ์
ปัญหาที่ร้ายแรงที่สุดคือช่องโหว่ด้านความปลอดภัยที่ร้ายแรงในคอมโพเนนต์ Framework ซึ่งอาจทำให้แอปที่เป็นอันตรายยกระดับสิทธิ์ในเครื่องได้โดยไม่ต้องมีสิทธิ์การดำเนินการเพิ่มเติม การประเมินความรุนแรงจะอิงตามผลกระทบที่การใช้ช่องโหว่อาจมีต่ออุปกรณ์ที่ได้รับผลกระทบ โดยสมมติว่ามีการปิดการลดความเสี่ยงของแพลตฟอร์มและบริการเพื่อวัตถุประสงค์ในการพัฒนาหรือหากมีการข้ามการลดความเสี่ยงได้สำเร็จ
ประกาศ
- นอกเหนือจากช่องโหว่ด้านความปลอดภัยที่อธิบายไว้ในประกาศข่าวสารด้านความปลอดภัยของ Android เดือนพฤษภาคม 2024 แล้ว ประกาศข่าวสารด้านความปลอดภัยของ Wear OS เดือนพฤษภาคม 2024 ยังมีแพตช์สำหรับช่องโหว่ของ Wear OS โดยเฉพาะตามที่อธิบายไว้ด้านล่างด้วย
รายละเอียดช่องโหว่ระดับแพตช์ด้านความปลอดภัย 2024-05-01
ในส่วนด้านล่าง เราจะให้รายละเอียดเกี่ยวกับช่องโหว่ด้านความปลอดภัยแต่ละรายการที่ใช้กับแพตช์ระดับ 2024-05-01 ระบบจะแบ่งประเภทช่องโหว่ตามคอมโพเนนต์ที่ได้รับผลกระทบ ปัญหาจะอธิบายไว้ในตารางด้านล่างและมีรหัส CVE, ข้อมูลอ้างอิงที่เกี่ยวข้อง, ประเภทของช่องโหว่, ความรุนแรง และเวอร์ชัน AOSP ที่อัปเดตแล้ว (หากมี) เมื่อมี เราจะลิงก์การเปลี่ยนแปลงแบบสาธารณะที่แก้ไขปัญหาไปยังรหัสข้อบกพร่อง เช่น รายการการเปลี่ยนแปลงของ AOSP เมื่อการเปลี่ยนแปลงหลายรายการเกี่ยวข้องกับข้อบกพร่องเดียว ระบบจะลิงก์ข้อมูลอ้างอิงเพิ่มเติมกับหมายเลขที่ต่อท้ายรหัสข้อบกพร่อง อุปกรณ์ที่ใช้ Android 10 ขึ้นไปอาจได้รับการอัปเดตความปลอดภัยและ การอัปเดตระบบ Google Play
Framework
ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทําให้แอปที่เป็นอันตรายยกระดับสิทธิ์ในเครื่องได้โดยไม่ต้องมีสิทธิ์การดำเนินการเพิ่มเติม
| CVE | ข้อมูลอ้างอิง | ประเภท | ความรุนแรง | เวอร์ชัน AOSP ที่อัปเดตแล้ว |
|---|---|---|---|---|
| CVE-2024-23700 | A-310634539 | รหัส | วิกฤต | 13 |
| CVE-2024-23703 | A-268737818 | EoP | สูง | 13 |
ระบบ
ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้เกิดการเพิ่มสิทธิ์ในเครื่องโดยไม่ต้องมีสิทธิ์การดำเนินการเพิ่มเติม
| CVE | ข้อมูลอ้างอิง | ประเภท | ความรุนแรง | เวอร์ชัน AOSP ที่อัปเดตแล้ว |
|---|---|---|---|---|
| CVE-2024-23701 | A-300267802 | EoP | สูง | 13 |
| CVE-2024-23702 | A-290819041 | EoP | สูง | 13 |
คำถามที่พบบ่อยและคำตอบ
ส่วนนี้จะตอบคำถามที่พบบ่อยซึ่งผู้ใช้อาจสงสัยหลังจากที่อ่านกระดานข่าวสารนี้
1. ฉันจะทราบได้อย่างไรว่าอุปกรณ์ได้รับการอัปเดตเพื่อแก้ไขปัญหาเหล่านี้แล้ว
ดูวิธีตรวจสอบระดับแพตช์ความปลอดภัยของอุปกรณ์ได้ในวิธีการที่กำหนดการอัปเดตอุปกรณ์ Google
- ระดับแพตช์ความปลอดภัยของวันที่ 01-05-2024 หรือหลังจากนั้นจะแก้ไข ปัญหาทั้งหมดที่เกี่ยวข้องกับแพตช์ความปลอดภัยระดับ 01-05-2024
ผู้ผลิตอุปกรณ์ที่รวมการอัปเดตเหล่านี้ควรตั้งค่าระดับสตริงแพตช์เป็น
- [ro.build.version.security_patch]:[2024-05-01]
สำหรับอุปกรณ์บางรุ่นที่ใช้ Android 10 ขึ้นไป การอัปเดตระบบ Google Play จะมีสตริงวันที่ที่ตรงกับระดับแพตช์ด้านความปลอดภัย 2024-05-01 โปรดดูรายละเอียดเพิ่มเติมเกี่ยวกับวิธีติดตั้ง การอัปเดตความปลอดภัยได้ในบทความนี้
2. รายการในคอลัมน์ประเภทหมายถึงอะไร
รายการในคอลัมน์ประเภทของตารางรายละเอียดช่องโหว่ จะอ้างอิงการแยกประเภทช่องโหว่ด้านความปลอดภัย
| ตัวย่อ | คำจำกัดความ |
|---|---|
| RCE | การดำเนินการกับโค้ดจากระยะไกล |
| EoP | การยกระดับสิทธิ์ |
| ID | การเปิดเผยข้อมูล |
| DoS | การปฏิเสธการให้บริการ |
| ไม่มี | ไม่มีการแยกประเภท |
3. รายการในคอลัมน์การอ้างอิงหมายถึงอะไร
รายการในคอลัมน์ข้อมูลอ้างอิงของตารางรายละเอียดช่องโหว่อาจมีคำนำหน้าที่ระบุองค์กรที่ค่าข้อมูลอ้างอิงเป็นขององค์กรนั้น
| คำนำหน้า | ข้อมูลอ้างอิง |
|---|---|
| A- | รหัสข้อบกพร่องของ Android |
| QC- | หมายเลขอ้างอิงของ Qualcomm |
| M- | หมายเลขอ้างอิงของ MediaTek |
| N- | หมายเลขอ้างอิงของ NVIDIA |
| B- | หมายเลขอ้างอิงของ Broadcom |
| U- | หมายเลขอ้างอิงของ UNISOC |
4. เครื่องหมาย * ข้างรหัสข้อบกพร่องของ Android ในคอลัมน์การอ้างอิง หมายความว่าอย่างไร
ปัญหาที่ไม่ได้เผยแพร่ต่อสาธารณะจะมีเครื่องหมาย * อยู่ข้างรหัสอ้างอิงที่เกี่ยวข้อง โดยทั่วไปแล้ว การอัปเดตสำหรับปัญหานั้นจะอยู่ใน ไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Pixel ซึ่งมีให้บริการในเว็บไซต์ Google Developers
5. เหตุใดช่องโหว่ด้านความปลอดภัยจึงแยกออกเป็นประกาศนี้และ ประกาศด้านความปลอดภัยของอุปกรณ์/พาร์ทเนอร์ เช่น ประกาศของ Pixel
ช่องโหว่ด้านความปลอดภัยที่บันทึกไว้ในประกาศข่าวสารด้านความปลอดภัยนี้ จำเป็นต้องประกาศระดับแพตช์ด้านความปลอดภัยล่าสุดในอุปกรณ์ Android คุณไม่จำเป็นต้องระบุช่องโหว่ด้านความปลอดภัยเพิ่มเติมที่บันทึกไว้ใน ประกาศข่าวสารด้านความปลอดภัยของอุปกรณ์/พาร์ทเนอร์ เพื่อประกาศระดับแพตช์ด้านความปลอดภัย ผู้ผลิตอุปกรณ์ Android และชิปเซ็ต อาจเผยแพร่รายละเอียดช่องโหว่ด้านความปลอดภัยที่เฉพาะเจาะจงสำหรับผลิตภัณฑ์ของตนด้วย เช่น Google Huawei LGE Motorola Nokia หรือ Samsung
เวอร์ชัน
| เวอร์ชัน | วันที่ | หมายเหตุ |
|---|---|---|
| 1.0 | 6 พฤษภาคม 2024 | เผยแพร่ Bulletin แล้ว |