Google is committed to advancing racial equity for Black communities. See how.
This page was translated by the Cloud Translation API.
Switch to English

กระดานข่าวความปลอดภัยของ Android - มีนาคม 2020

เผยแพร่เมื่อ 2 มีนาคม 2020 | อัปเดตเมื่อ 9 มีนาคม 2020

กระดานข่าวความปลอดภัยของ Android มีรายละเอียดของช่องโหว่ด้านความปลอดภัยที่ส่งผลต่ออุปกรณ์ Android แพตช์ความปลอดภัยระดับ 2020-03-05 หรือใหม่กว่าช่วยแก้ปัญหาเหล่านี้ทั้งหมด หากต้องการเรียนรู้วิธีตรวจสอบระดับแพตช์ความปลอดภัยของอุปกรณ์โปรดดู ตรวจสอบและอัปเดตเวอร์ชัน Android ของคุณ

พาร์ทเนอร์ Android จะได้รับแจ้งเกี่ยวกับปัญหาทั้งหมดอย่างน้อยหนึ่งเดือนก่อนการเผยแพร่ แพตช์ซอร์สโค้ดสำหรับปัญหาเหล่านี้ได้รับการเผยแพร่ไปยังที่เก็บ Android Open Source Project (AOSP) และเชื่อมโยงจากกระดานข่าวสารนี้ กระดานข่าวสารนี้ยังมีลิงก์ไปยังแพตช์ภายนอก AOSP

ปัญหาที่รุนแรงที่สุดคือช่องโหว่ด้านความปลอดภัยที่สำคัญในเฟรมเวิร์กสื่อที่สามารถเปิดใช้งานผู้โจมตีระยะไกลโดยใช้ไฟล์ที่สร้างขึ้นมาเป็นพิเศษเพื่อเรียกใช้รหัสโดยพลการภายในบริบทของกระบวนการที่มีสิทธิพิเศษ การ ประเมินความรุนแรง ขึ้นอยู่กับผลกระทบของการใช้ประโยชน์จากช่องโหว่ที่อาจเกิดขึ้นกับอุปกรณ์ที่ได้รับผลกระทบโดยสมมติว่าแพลตฟอร์มและการลดการให้บริการถูกปิดเพื่อวัตถุประสงค์ในการพัฒนาหรือหากข้ามได้สำเร็จ

โปรดดูส่วนการ ลดการป้องกัน ของ Android และ Google Play สำหรับรายละเอียดเกี่ยวกับการ ป้องกันแพลตฟอร์มความปลอดภัยของ Android และ Google Play Protect ซึ่งปรับปรุงความปลอดภัยของแพลตฟอร์ม Android

การบรรเทาบริการ Android และ Google

นี่คือบทสรุปของการบรรเทา ความ เสียหายจาก แพลตฟอร์มความปลอดภัยของ Android และการป้องกันบริการเช่น Google Play Protect ความสามารถเหล่านี้ช่วยลดโอกาสที่ช่องโหว่ด้านความปลอดภัยอาจถูกใช้ประโยชน์บน Android ได้สำเร็จ

  • การแสวงหาประโยชน์จากปัญหาต่างๆบน Android ทำได้ยากขึ้นโดยการปรับปรุงในแพลตฟอร์ม Android เวอร์ชันใหม่กว่า เราขอแนะนำให้ผู้ใช้ทุกคนอัปเดตเป็น Android เวอร์ชันล่าสุดหากเป็นไปได้
  • ทีมรักษาความปลอดภัยของ Android ตรวจสอบการละเมิดผ่าน Google Play Protect และเตือนผู้ใช้เกี่ยวกับ แอปพลิเคชันที่อาจเป็นอันตราย Google Play Protect เปิดใช้งานโดยค่าเริ่มต้นบนอุปกรณ์ที่มี บริการ Google Mobile และมีความสำคัญอย่างยิ่งสำหรับผู้ใช้ที่ติดตั้งแอปจากภายนอก Google Play

รายละเอียดช่องโหว่ระดับแพตช์ความปลอดภัย 2020-03-01

ในส่วนด้านล่างเราให้รายละเอียดสำหรับช่องโหว่ด้านความปลอดภัยแต่ละรายการที่ใช้กับระดับแพตช์ 2020-03-01 ช่องโหว่ถูกจัดกลุ่มภายใต้องค์ประกอบที่มีผลกระทบ ปัญหาอธิบายไว้ในตารางด้านล่างและรวมถึง CVE ID การอ้างอิงที่เกี่ยวข้อง ประเภทของช่องโหว่ ความรุนแรง และเวอร์ชัน AOSP ที่อัปเดต (หากมี) เมื่อมีให้เราเชื่อมโยงการเปลี่ยนแปลงสาธารณะที่แก้ไขปัญหากับรหัสข้อบกพร่องเช่นรายการการเปลี่ยนแปลง AOSP เมื่อการเปลี่ยนแปลงหลายอย่างเกี่ยวข้องกับจุดบกพร่องเดียวการอ้างอิงเพิ่มเติมจะเชื่อมโยงกับตัวเลขตามรหัสข้อบกพร่อง อุปกรณ์ที่ใช้ Android 10 ขึ้นไปอาจได้รับการอัปเดตด้านความปลอดภัยรวมถึง การอัปเดตระบบ Google Play

กรอบ

ช่องโหว่ในส่วนนี้อาจทำให้แอปพลิเคชันที่เป็นอันตรายในพื้นที่สามารถข้ามการป้องกันระบบปฏิบัติการที่แยกข้อมูลแอปพลิเคชันออกจากแอปพลิเคชันอื่นได้

CVE อ้างอิง ประเภท ความรุนแรง อัปเดตเวอร์ชัน AOSP
CVE-2020-0031 A-141703197 [ 2 ] ID สูง 10

กรอบสื่อ

ช่องโหว่ที่รุนแรงที่สุดในส่วนนี้อาจทำให้ผู้โจมตีจากระยะไกลโดยใช้ไฟล์ที่สร้างขึ้นมาเป็นพิเศษเพื่อเรียกใช้รหัสโดยพลการภายในบริบทของกระบวนการที่มีสิทธิพิเศษ

CVE อ้างอิง ประเภท ความรุนแรง อัปเดตเวอร์ชัน AOSP
CVE-2020-0032 A-145364230 RCE สำคัญ 8.0, 8.1, 9, 10
CVE-2020-0033 A-144351324 EoP สูง 8.0, 8.1, 9, 10
CVE-2020-0034 A-62458770 ID สูง 8.0, 8.1

ระบบ

ช่องโหว่ที่รุนแรงที่สุดในส่วนนี้อาจทำให้แอปพลิเคชันที่เป็นอันตรายในระบบสามารถข้ามข้อกำหนดการโต้ตอบกับผู้ใช้เพื่อเข้าถึงสิทธิ์เพิ่มเติมได้

CVE อ้างอิง ประเภท ความรุนแรง อัปเดตเวอร์ชัน AOSP
CVE-2020-0036 A-144679405 EoP สูง 8.0, 8.1, 9, 10
CVE-2020-0035 A-140622024 ID สูง 8.0, 8.1, 9
CVE-2020-0029 A-140065828 ID สูง 10
CVE-2020-0037 A-143106535 ID สูง 8.0, 8.1, 9, 10
CVE-2020-0038 A-143109193 ID สูง 8.0, 8.1, 9, 10
CVE-2020-0039 A-143155861 ID สูง 8.0, 8.1, 9, 10

การอัปเดตระบบ Google Play

ปัญหาต่อไปนี้รวมอยู่ในคอมโพเนนต์ Project Mainline

ส่วนประกอบ CVE
ตัวแปลงสัญญาณสื่อ CVE-2020-0032

รายละเอียดช่องโหว่ระดับแพตช์ความปลอดภัย 2020-03-05

ในส่วนด้านล่างนี้เราให้รายละเอียดเกี่ยวกับช่องโหว่ด้านความปลอดภัยแต่ละรายการที่ใช้กับระดับแพตช์ 2020-03-05 ช่องโหว่จะถูกจัดกลุ่มภายใต้องค์ประกอบที่มีผลกระทบและรวมถึงรายละเอียดต่างๆเช่น CVE การอ้างอิงที่เกี่ยวข้อง ประเภทของช่องโหว่ ความรุนแรง องค์ประกอบ (หากมี) และเวอร์ชัน AOSP ที่อัปเดต (หากมี) เมื่อมีเราจะเชื่อมโยงการเปลี่ยนแปลงสาธารณะที่แก้ไขปัญหากับรหัสข้อบกพร่องเช่นรายการการเปลี่ยนแปลง AOSP เมื่อการเปลี่ยนแปลงหลายอย่างเกี่ยวข้องกับจุดบกพร่องเดียวการอ้างอิงเพิ่มเติมจะเชื่อมโยงกับตัวเลขตามรหัสข้อบกพร่อง

ส่วนประกอบเคอร์เนล

ช่องโหว่ที่รุนแรงที่สุดในส่วนนี้อาจทำให้ผู้โจมตีในพื้นที่โดยใช้อุปกรณ์ USB ที่สร้างขึ้นมาเป็นพิเศษเพื่อเรียกใช้รหัสโดยพลการภายในบริบทของกระบวนการที่มีสิทธิพิเศษ

CVE อ้างอิง ประเภท ความรุนแรง ส่วนประกอบ
CVE-2019-19527 A-146257915
เคอร์เนลต้นน้ำ [ 2 ]
EoP สูง ยูเอสบี
CVE-2019-19537 A-146258055
เคอร์เนลต้นน้ำ
EoP สูง ยูเอสบี
CVE-2019-15239 A-143009752
เคอร์เนลต้นน้ำ
EoP สูง เครือข่าย
CVE-2020-0041 A-145988638
เคอร์เนลต้นน้ำ
EoP สูง สารยึดเกาะ

ส่วนประกอบ FPC

ช่องโหว่ที่รุนแรงที่สุดในส่วนนี้อาจทำให้แอปพลิเคชันที่เป็นอันตรายในพื้นที่สามารถข้ามข้อกำหนดการโต้ตอบของผู้ใช้เพื่อเข้าถึงสิทธิ์เพิ่มเติมได้

CVE อ้างอิง ประเภท ความรุนแรง ส่วนประกอบ
CVE-2020-0010 A-137014293 * EoP สูง FPC ลายนิ้วมือ TEE
CVE-2020-0011 A-137648045 * EoP สูง FPC ลายนิ้วมือ TEE
CVE-2020-0012 A-137648844 * EoP สูง FPC ลายนิ้วมือ TEE
CVE-2020-0042 A-137649599 * ID ปานกลาง FPC ลายนิ้วมือ TEE
CVE-2020-0043 A-137650218 * ID ปานกลาง FPC ลายนิ้วมือ TEE
CVE-2020-0044 A-137650219 * ID ปานกลาง FPC ลายนิ้วมือ TEE

ส่วนประกอบ MediaTek

CVE อ้างอิง ประเภท ความรุนแรง ส่วนประกอบ
CVE-2020-0069 A-147882143 *
M-ALPS04356754
EoP สูง ระบบ

ส่วนประกอบ Qualcomm

ช่องโหว่เหล่านี้ส่งผลกระทบต่อส่วนประกอบของ Qualcomm และมีการอธิบายรายละเอียดเพิ่มเติมในกระดานข่าวความปลอดภัยของ Qualcomm หรือการแจ้งเตือนด้านความปลอดภัย การประเมินความรุนแรงของปัญหาเหล่านี้จัดทำโดย Qualcomm โดยตรง

CVE อ้างอิง ประเภท ความรุนแรง ส่วนประกอบ
CVE-2019-14079 A-138848422
QC-CR # 2521001
ไม่มี สูง ยูเอสบี
CVE-2018-11838 A-145545090
QC-CR # 221457 [ 2 ]
ไม่มี สูง WLAN
CVE-2019-10526 A-145544085
QC-CR # 2232526
QC-CR # 2541970
ไม่มี สูง WLAN
CVE-2019-10569 A-145545820
QC-CR # 2315791
ไม่มี สูง เสียง
CVE-2019-14029 A-145546793
QC-CR # 2528795
ไม่มี สูง กราฟิก
CVE-2019-14032 A-145546652
QC-CR # 2537311
ไม่มี สูง เสียง
CVE-2019-14068 A-145546435
QC-CR # 2507653 [ 2 ]
ไม่มี สูง เสียง
CVE-2019-14072 A-145545251
QC-CR # 2509391
ไม่มี สูง กราฟิก

ส่วนประกอบปิดของ Qualcomm

ช่องโหว่เหล่านี้ส่งผลกระทบต่อคอมโพเนนต์ปิดของ Qualcomm และมีการอธิบายรายละเอียดเพิ่มเติมในประกาศความปลอดภัยของ Qualcomm หรือการแจ้งเตือนด้านความปลอดภัย การประเมินความรุนแรงของปัญหาเหล่านี้จัดทำโดย Qualcomm โดยตรง

CVE อ้างอิง ประเภท ความรุนแรง ส่วนประกอบ
CVE-2019-2317 A-134436812 * ไม่มี สำคัญ องค์ประกอบปิด
CVE-2019-10586 A-140423909 * ไม่มี สำคัญ องค์ประกอบปิด
CVE-2019-10587 A-140423816 * ไม่มี สำคัญ องค์ประกอบปิด
CVE-2019-10593 A-140424165 * ไม่มี สำคัญ องค์ประกอบปิด
CVE-2019-10594 A-140424564 * ไม่มี สำคัญ องค์ประกอบปิด
CVE-2019-10612 A-140423161 * ไม่มี สำคัญ องค์ประกอบปิด
CVE-2019-14031 A-142271912 * ไม่มี สำคัญ องค์ประกอบปิด
CVE-2019-14045 A-140973418 * ไม่มี สำคัญ องค์ประกอบปิด
CVE-2019-14071 A-145545489 * ไม่มี สำคัญ องค์ประกอบปิด
CVE-2019-14083 A-140973259 * ไม่มี สำคัญ องค์ประกอบปิด
CVE-2019-14086 A-140973417 * ไม่มี สำคัญ องค์ประกอบปิด
CVE-2019-14030 A-145546515 * ไม่มี สำคัญ องค์ประกอบปิด
CVE-2019-14097 A-145546003 * ไม่มี สำคัญ องค์ประกอบปิด
CVE-2019-14098 A-145546314 * ไม่มี สำคัญ องค์ประกอบปิด
CVE-2019-10546 A-145545250 * ไม่มี สำคัญ องค์ประกอบปิด
CVE-2019-14095 A-142843397 * ไม่มี สำคัญ องค์ประกอบปิด
CVE-2018-11970 A-114042111 * ไม่มี สูง องค์ประกอบปิด
CVE-2019-10603 A-140424074 * ไม่มี สูง องค์ประกอบปิด
CVE-2019-10616 A-140423338 * ไม่มี สูง องค์ประกอบปิด
CVE-2019-10549 A-140423162 * ไม่มี สูง องค์ประกอบปิด
CVE-2019-10550 A-140423702 * ไม่มี สูง องค์ประกอบปิด
CVE-2019-10552 A-140423817 * ไม่มี สูง องค์ประกอบปิด
CVE-2019-10553 A-140423081 * ไม่มี สูง องค์ประกอบปิด
CVE-2019-10554 A-140424012 * ไม่มี สูง องค์ประกอบปิด
CVE-2019-10577 A-140424166 * ไม่มี สูง องค์ประกอบปิด
CVE-2019-14026 A-142271986 * ไม่มี สูง องค์ประกอบปิด
CVE-2019-14027 A-142271756 * ไม่มี สูง องค์ประกอบปิด
CVE-2019-14028 A-142271831 * ไม่มี สูง องค์ประกอบปิด
CVE-2019-2300 A-142271659 * ไม่มี สูง องค์ประกอบปิด
CVE-2019-2311 A-142271967 * ไม่มี สูง องค์ประกอบปิด
CVE-2019-14050 A-143902706 * ไม่มี สูง องค์ประกอบปิด
CVE-2019-14081 A-143902882 * ไม่มี สูง องค์ประกอบปิด
CVE-2019-14082 A-140974589 * ไม่มี สูง องค์ประกอบปิด
CVE-2019-14085 A-143902807 * ไม่มี สูง องค์ประกอบปิด
CVE-2019-14048 A-145545282 * ไม่มี สูง องค์ประกอบปิด
CVE-2019-14061 A-145545758 * ไม่มี สูง องค์ประกอบปิด
CVE-2019-10604 A-145545725 * ไม่มี สูง องค์ประกอบปิด
CVE-2019-10591 A-145545283 * ไม่มี สูง องค์ประกอบปิด
CVE-2019-14000 A-145546434 * ไม่มี สูง องค์ประกอบปิด
CVE-2019-14015 A-145545650 * ไม่มี สูง องค์ประกอบปิด

คำถามและคำตอบทั่วไป

ส่วนนี้ตอบคำถามทั่วไปที่อาจเกิดขึ้นหลังจากอ่านกระดานข่าวสารนี้

1. ฉันจะทราบได้อย่างไรว่าอุปกรณ์ของฉันได้รับการอัปเดตเพื่อแก้ไขปัญหาเหล่านี้หรือไม่?

หากต้องการเรียนรู้วิธีตรวจสอบระดับแพตช์ความปลอดภัยของอุปกรณ์โปรดดู ตรวจสอบและอัปเดตเวอร์ชัน Android ของคุณ

  • ระดับแพตช์ความปลอดภัยของ 2020-03-01 หรือใหม่กว่าจะแก้ไขปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัย 2020-03-01
  • ระดับแพตช์ความปลอดภัย 2020-03-05 หรือใหม่กว่าจะแก้ไขปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัย 2020-03-05 และระดับแพตช์ก่อนหน้าทั้งหมด

ผู้ผลิตอุปกรณ์ที่มีการอัปเดตเหล่านี้ควรตั้งค่าระดับสตริงโปรแกรมแก้ไขเป็น:

  • [ro.build.version.security_patch]: [2020-03-01]
  • [ro.build.version.security_patch]: [2020-03-05]

สำหรับอุปกรณ์บางรุ่นที่ใช้ Android 10 ขึ้นไปการอัปเดตระบบ Google Play จะมีสตริงวันที่ที่ตรงกับระดับแพตช์ความปลอดภัย 2020-03-01 โปรดดู บทความนี้ สำหรับรายละเอียดเพิ่มเติมเกี่ยวกับวิธีการติดตั้งโปรแกรมปรับปรุงความปลอดภัย

2. เหตุใดแถลงการณ์นี้จึงมีแพตช์ความปลอดภัยสองระดับ

กระดานข่าวนี้มีแพตช์ความปลอดภัยสองระดับเพื่อให้พาร์ทเนอร์ Android มีความยืดหยุ่นในการแก้ไขช่องโหว่ส่วนย่อยที่คล้ายกันในอุปกรณ์ Android ทั้งหมดได้เร็วขึ้น ขอแนะนำให้พันธมิตร Android แก้ไขปัญหาทั้งหมดในกระดานข่าวสารนี้และใช้ระดับแพตช์ความปลอดภัยล่าสุด

  • อุปกรณ์ที่ใช้ระดับแพตช์ความปลอดภัย 2020-03-01 ต้องมีปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัยนั้นตลอดจนการแก้ไขสำหรับปัญหาทั้งหมดที่รายงานในแถลงการณ์ความปลอดภัยก่อนหน้านี้
  • อุปกรณ์ที่ใช้แพตช์ความปลอดภัยระดับ 2020-03-05 หรือใหม่กว่าต้องรวมแพตช์ที่เกี่ยวข้องทั้งหมดไว้ในกระดานข่าวความปลอดภัยนี้ (และก่อนหน้า)

พันธมิตรได้รับการสนับสนุนให้รวมการแก้ไขสำหรับปัญหาทั้งหมดที่กำลังแก้ไขอยู่ในการอัปเดตครั้งเดียว

3. รายการในคอลัมน์ Type หมายถึงอะไร?

รายการในคอลัมน์ Type ของตารางรายละเอียดช่องโหว่จะอ้างอิงการจัดประเภทของช่องโหว่ด้านความปลอดภัย

ตัวย่อ คำจำกัดความ
RCE การเรียกใช้รหัสระยะไกล
EoP การยกระดับสิทธิพิเศษ
ID การเปิดเผยข้อมูล
DoS การปฏิเสธการให้บริการ
ไม่มี ไม่มีการจัดประเภท

4. รายการในคอลัมน์ อ้างอิง หมายถึงอะไร?

รายการในคอลัมน์ การอ้างอิง ของตารางรายละเอียดช่องโหว่อาจมีคำนำหน้าที่ระบุองค์กรที่มีค่าอ้างอิง

คำนำหน้า ข้อมูลอ้างอิง
ก - รหัสข้อบกพร่องของ Android
QC- หมายเลขอ้างอิงของ Qualcomm
M- หมายเลขอ้างอิง MediaTek
N- หมายเลขอ้างอิง NVIDIA
B- หมายเลขอ้างอิงของ Broadcom

5. * ถัดจากรหัสข้อบกพร่องของ Android ในคอลัมน์ อ้างอิง หมายถึงอะไร

ปัญหาที่ไม่เปิดเผยต่อสาธารณะมี * ถัดจากรหัสข้อบกพร่องของ Android ในคอลัมน์ การอ้างอิง โดยทั่วไปการอัปเดตสำหรับปัญหานั้นจะมีอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Pixel ที่มีให้จาก ไซต์ Google Developer

6. เหตุใดช่องโหว่ด้านความปลอดภัยจึงแยกระหว่างกระดานข่าวนี้และกระดานข่าวความปลอดภัยของอุปกรณ์ / พันธมิตรเช่นกระดานข่าว Pixel

ช่องโหว่ด้านความปลอดภัยที่บันทึกไว้ในกระดานข่าวความปลอดภัยนี้จำเป็นสำหรับการประกาศระดับแพตช์ความปลอดภัยล่าสุดบนอุปกรณ์ Android ช่องโหว่ด้านความปลอดภัยเพิ่มเติมที่บันทึกไว้ในกระดานข่าวความปลอดภัยของอุปกรณ์ / พันธมิตรไม่จำเป็นสำหรับการประกาศระดับแพตช์ความปลอดภัย ผู้ผลิตอุปกรณ์และชิปเซ็ต Android อาจเผยแพร่รายละเอียดช่องโหว่ด้านความปลอดภัยเฉพาะสำหรับผลิตภัณฑ์ของตนเช่น Google , Huawei , LGE , Motorola , Nokia หรือ Samsung

เวอร์ชัน

เวอร์ชัน วันที่ หมายเหตุ
1.0 2 มีนาคม 2020 เผยแพร่แถลงการณ์แล้ว
1.1 3 มีนาคม 2020 ปรับปรุงกระดานข่าวสารเพื่อรวมลิงก์ AOSP
1.2 9 มีนาคม 2020 อัปเดตรายการปัญหา