ประกาศข่าวสารด้านความปลอดภัยของ Wear OS มีรายละเอียดของช่องโหว่ด้านความปลอดภัย ที่ส่งผลกระทบต่อแพลตฟอร์ม Wear OS การอัปเดต Wear OS แบบเต็มประกอบด้วยระดับแพตช์ด้านความปลอดภัย 2024-07-05 ขึ้นไปจากประกาศข่าวสารด้านความปลอดภัยของ Android ประจำเดือนกรกฎาคม 2024 รวมถึงปัญหาทั้งหมดในประกาศข่าวสารนี้
เราขอแนะนำให้ลูกค้าทุกคนยอมรับการอัปเดตเหล่านี้ในอุปกรณ์
ปัญหาที่ร้ายแรงที่สุดคือช่องโหว่ด้านความปลอดภัยระดับสูงในคอมโพเนนต์ Framework ซึ่งอาจนำไปสู่การยกระดับสิทธิ์ในเครื่องโดยไม่จำเป็นต้องมีสิทธิ์ในการดำเนินการเพิ่มเติม การประเมินความรุนแรงจะอิงตามผลกระทบที่ การใช้ประโยชน์จากช่องโหว่อาจมีต่ออุปกรณ์ที่ได้รับผลกระทบ โดยสมมติว่าการบรรเทาผลกระทบของแพลตฟอร์มและบริการปิดอยู่เพื่อวัตถุประสงค์ในการพัฒนา หรือหากมีการข้ามการบรรเทาผลกระทบได้สำเร็จ
ประกาศ
- นอกเหนือจากช่องโหว่ด้านความปลอดภัยที่อธิบายไว้ในประกาศข่าวสารด้านความปลอดภัยของ Android ประจำเดือนกรกฎาคม 2024 แล้ว ประกาศข่าวสารด้านความปลอดภัยของ Wear OS ประจำเดือนกรกฎาคม 2024 ยังมีแพตช์สำหรับช่องโหว่ของ Wear OS โดยเฉพาะตามที่อธิบายไว้ ด้านล่าง
รายละเอียดช่องโหว่ระดับแพตช์ด้านความปลอดภัย 2024-07-01
ในส่วนด้านล่างนี้ เราจะให้รายละเอียดเกี่ยวกับช่องโหว่ด้านความปลอดภัย แต่ละรายการที่ใช้กับระดับแพตช์ 2024-07-01 ระบบจะจัดกลุ่มช่องโหว่ตามคอมโพเนนต์ที่ได้รับผลกระทบ ปัญหาจะอธิบายไว้ในตารางด้านล่างและรวมถึงรหัส CVE, ข้อมูลอ้างอิงที่เกี่ยวข้อง, ประเภทของช่องโหว่, ความรุนแรง และเวอร์ชัน AOSP ที่อัปเดตแล้ว (หากมี) เมื่อพร้อมใช้งาน เราจะลิงก์การเปลี่ยนแปลงแบบสาธารณะที่แก้ไขปัญหาไปยัง รหัสข้อบกพร่อง เช่น รายการการเปลี่ยนแปลง AOSP เมื่อมีการเปลี่ยนแปลงหลายรายการที่เกี่ยวข้องกับข้อบกพร่องเดียว ระบบจะลิงก์ข้อมูลอ้างอิงเพิ่มเติมกับหมายเลขที่ตามหลังรหัสข้อบกพร่อง อุปกรณ์ที่ใช้ Android 10 ขึ้นไปอาจได้รับการอัปเดตด้านความปลอดภัย รวมถึง Google Play system updates
ระบบ
ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจนำไปสู่การยกระดับสิทธิ์ในเครื่อง โดยไม่จำเป็นต้องมีสิทธิ์ในการดำเนินการเพิ่มเติม
| CVE | ข้อมูลอ้างอิง | ประเภท | ความรุนแรง | เวอร์ชัน AOSP ที่อัปเดตแล้ว |
|---|---|---|---|---|
| CVE-2024-31338 | A-324406734 | EoP | สูง | 13 |
คำถามที่พบบ่อยและคำตอบ
ส่วนนี้จะตอบคำถามที่พบบ่อยซึ่งผู้ใช้อาจสงสัยหลังจากที่อ่าน กระดานข่าวสารนี้
1. ฉันจะทราบได้อย่างไรว่าอุปกรณ์ได้รับการอัปเดตเพื่อแก้ไขปัญหาเหล่านี้ แล้ว
หากต้องการทราบวิธีตรวจสอบระดับแพตช์ด้านความปลอดภัยของอุปกรณ์ โปรดอ่าน วิธีการใน กำหนดการอัปเดตอุปกรณ์ Google
- ระดับแพตช์ด้านความปลอดภัย 2024-07-01 ขึ้นไปจะแก้ไข ปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ด้านความปลอดภัย 2024-07-01
ผู้ผลิตอุปกรณ์ที่รวมการอัปเดตเหล่านี้ควรตั้งค่าระดับสตริงแพตช์ เป็น
- [ro.build.version.security_patch]:[2024-07-01]
สำหรับอุปกรณ์บางรุ่นที่ใช้ Android 10 ขึ้นไป การอัปเดตระบบ Google Play จะมีสตริงวันที่ที่ตรงกับระดับแพตช์ด้านความปลอดภัย 2024-07-01 โปรดดูรายละเอียดเพิ่มเติมเกี่ยวกับวิธีติดตั้งการอัปเดตด้านความปลอดภัยได้ที่บทความนี้
2. รายการในคอลัมน์ ประเภท หมายถึงอะไร
รายการในคอลัมน์ ประเภท ของตารางรายละเอียดช่องโหว่ จะอ้างอิงการแยกประเภทช่องโหว่ด้านความปลอดภัย
| ตัวย่อ | คำจำกัดความ |
|---|---|
| RCE | การดำเนินการกับโค้ดจากระยะไกล |
| EoP | การยกระดับสิทธิ์ |
| ID | การเปิดเผยข้อมูล |
| DoS | การปฏิเสธการให้บริการ |
| ไม่มี | ไม่มีการแยกประเภท |
3. รายการในคอลัมน์ ข้อมูลอ้างอิง หมายถึงอะไร
รายการในคอลัมน์ ข้อมูลอ้างอิง ของตารางรายละเอียดช่องโหว่อาจมีคำนำหน้าเพื่อระบุองค์กรที่เป็นเจ้าของค่าข้อมูลอ้างอิง
| คำนำหน้า | ข้อมูลอ้างอิง |
|---|---|
| A- | รหัสข้อบกพร่องของ Android |
| QC- | หมายเลขอ้างอิงของ Qualcomm |
| M- | หมายเลขอ้างอิงของ MediaTek |
| N- | หมายเลขอ้างอิงของ NVIDIA |
| B- | หมายเลขอ้างอิงของ Broadcom |
| U- | หมายเลขอ้างอิงของ UNISOC |
4. เครื่องหมาย * ข้างรหัสข้อบกพร่องของ Android ในคอลัมน์ ข้อมูลอ้างอิง หมายถึงอะไร
ปัญหาที่ไม่ได้เผยแพร่ต่อสาธารณะจะมีเครื่องหมาย * ข้างรหัสอ้างอิงที่เกี่ยวข้อง โดยทั่วไป การอัปเดตสำหรับปัญหานั้นจะอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Pixel ซึ่งพร้อมให้บริการจากเว็บไซต์ Google Developers
5. เหตุใดช่องโหว่ด้านความปลอดภัยจึงแยกออกเป็นประกาศข่าวสารนี้ และ ประกาศข่าวสารด้านความปลอดภัยของอุปกรณ์ / พาร์ทเนอร์ เช่น ประกาศข่าวสารของ Pixel?
ช่องโหว่ด้านความปลอดภัยที่ระบุไว้ในประกาศข่าวสารด้านความปลอดภัยนี้ต้อง ประกาศระดับแพตช์ด้านความปลอดภัยล่าสุดในอุปกรณ์ Android ส่วนช่องโหว่ด้านความปลอดภัยเพิ่มเติมที่ระบุไว้ใน ประกาศข่าวสารด้านความปลอดภัยของอุปกรณ์ / พาร์ทเนอร์ไม่จำเป็นต้องประกาศระดับแพตช์ด้านความปลอดภัย นอกจากนี้ ผู้ผลิตอุปกรณ์ Android และชิปเซ็ต อาจเผยแพร่รายละเอียดช่องโหว่ด้านความปลอดภัยที่เฉพาะเจาะจงกับผลิตภัณฑ์ของตน เช่น Google, Huawei, LGE, Motorola, Nokia, หรือ Samsung
เวอร์ชัน
| เวอร์ชัน | วันที่ | หมายเหตุ |
|---|---|---|
| 1.0 | 3 กรกฎาคม 2024 | เผยแพร่ประกาศข่าวสารแล้ว |