פורסם ב -5 באפריל 2021 | עודכן ב- 7 באפריל 2021
עלון האבטחה של Android מכיל פרטים על פרצות אבטחה המשפיעות על מכשירי Android. רמות תיקון האבטחה של 2021-04-05 ואילך מטפלות בכל הבעיות הללו. כדי ללמוד כיצד לבדוק את רמת תיקון האבטחה של המכשיר, ראהבדוק ועדכן את גרסת Android שלך .
שותפי Android מקבלים הודעה על כל הבעיות לפחות חודש לפני הפרסום. תיקוני קוד המקור לבעיות אלה שוחררו למאגר Android Open Source Project (AOSP) וקושרו מעלון זה. עלון זה כולל גם קישורים לתיקונים מחוץ ל- AOSP.
החמורה מבין הבעיות הללו היא פגיעות אבטחה קריטית ברכיב המערכת שעלולה לאפשר לתוקף מרוחק המשתמש בקובץ בעל מבנה מיוחד לבצע קוד שרירותי בהקשר של תהליך מורשה. הערכת החומרה מבוססת על ההשפעה שיש לנצל את הפגיעות על מכשיר מושפע, בהנחה שהפלטפורמה והפחתת השירות מושבתים לצורכי פיתוח או אם עוקפים אותם בהצלחה.
עיין בסעיף הפחתת האנדרואיד ו- Google Play לפרטים אודות ההגנות על פלטפורמת האבטחה של Android ו- Google Play Protect, המשפרים את האבטחה של פלטפורמת Android.
הפחתת שירותים של Android ו- Google
זהו סיכום הפחתות המסופקות על ידי פלטפורמת האבטחה של Android והגנות שירות כגון Google Play Protect . יכולות אלה מקטינות את הסבירות שניתן לנצל בהצלחה פגיעויות אבטחה באנדרואיד.
- ניצול לבעיות רבות באנדרואיד מקשה על ידי שיפורים בגרסאות החדשות יותר של פלטפורמת אנדרואיד. אנו ממליצים לכל המשתמשים לעדכן לגרסה האחרונה של Android, במידת האפשר.
- צוות האבטחה של Android מפקח באופן פעיל על התעללות באמצעות Google Play Protect ומזהיר משתמשים מפני יישומים שעלולים להזיק . הגנה על Google Play מופעלת כברירת מחדל במכשירים עם שירותי המובייל של גוגל , והיא חשובה במיוחד עבור משתמשים שמתקינים אפליקציות מחוץ לגוגל פליי.
2021-04-01 פרטים על פגיעות ברמת תיקון האבטחה
בסעיפים שלמטה אנו מספקים פרטים עבור כל אחת מפגיעות האבטחה החלות על רמת התיקון 2021-04-01. פגיעויות מקובצות לפי הרכיב עליו הן משפיעות. הבעיות מתוארות בטבלאות שלהלן וכוללות מזהה CVE, הפניות משויכות, סוג פגיעות , חומרתן וגרסאות AOSP מעודכנות (היכן שרלוונטי). כאשר הוא זמין, אנו מקשרים את השינוי הציבורי שעסק בבעיה למזהה הבאג, כמו רשימת השינויים של AOSP. כאשר שינויים מרובים מתייחסים לבאג יחיד, אזכורים נוספים מקושרים למספרים בעקבות מזהה הבאג. מכשירים עם Android 10 ואילך עשויים לקבל עדכוני אבטחה וכן עדכוני מערכת של Google Play .
מִסגֶרֶת
הפגיעות הקשה ביותר בסעיף זה עלולה לאפשר למשתמש זדוני לזייף נתוני מיקום באמצעות מיקום ללעג במהלך שיחה לשירותי החירום.
| CVE | הפניות | סוּג | חוּמרָה | גרסאות AOSP מעודכנות |
|---|---|---|---|---|
| CVE-2021-0400 | A-177561690 | EoP | גָבוֹהַ | 9, 10, 11 |
| CVE-2021-0426 | A-174485572 | EoP | גָבוֹהַ | 11 |
| CVE-2021-0427 | A-174488848 | EoP | גָבוֹהַ | 11 |
| CVE-2021-0432 | A-173552790 | EoP | גָבוֹהַ | 11 |
| CVE-2021-0438 | A-152064592 | EoP | גָבוֹהַ | 8.1, 9, 10 |
| CVE-2021-0439 | A-174243830 | EoP | גָבוֹהַ | 11 |
| CVE-2021-0442 | A-174768985 | EoP | גָבוֹהַ | 11 |
| CVE-2021-0443 | A-170474245 | תְעוּדַת זֶהוּת | גָבוֹהַ | 8.1, 9, 10, 11 |
| CVE-2021-0444 | A-178825358 | תְעוּדַת זֶהוּת | גָבוֹהַ | 8.1, 9, 10, 11 |
מסגרת מדיה
הפגיעות הקשה ביותר בסעיף זה עשויה לאפשר ליישום זדוני מקומי לעקוף את דרישות האינטראקציה של המשתמש בכדי לקבל גישה להרשאות נוספות.
| CVE | הפניות | סוּג | חוּמרָה | גרסאות AOSP מעודכנות |
|---|---|---|---|---|
| CVE-2021-0437 | A-176168330 | EoP | גָבוֹהַ | 8.1, 9, 10, 11 |
| CVE-2021-0436 | A-176496160 [ 2 ] | תְעוּדַת זֶהוּת | גָבוֹהַ | 8.1, 9, 10, 11 |
| CVE-2021-0471 | A-176444786 [ 2 ] | תְעוּדַת זֶהוּת | גָבוֹהַ | 8.1, 9, 10, 11 |
מערכת
הפגיעות הקשה ביותר בסעיף זה עשויה לאפשר לתוקף מרוחק המשתמש בקובץ בעל מבנה מיוחד לבצע קוד שרירותי בהקשר לתהליך מורשה.
| CVE | הפניות | סוּג | חוּמרָה | גרסאות AOSP מעודכנות |
|---|---|---|---|---|
| CVE-2021-0430 | A-178725766 | RCE | קריטי | 10, 11 |
| CVE-2021-0429 | A-175074139 [ 2 ] | EoP | גָבוֹהַ | 8.1, 9, 10, 11 |
| CVE-2021-0433 | A-171221090 [ 2 ] | EoP | גָבוֹהַ | 8.1, 9, 10, 11 |
| CVE-2021-0446 | A-172252122 | EoP | גָבוֹהַ | 11 |
| CVE-2021-0431 | A-174149901 | תְעוּדַת זֶהוּת | גָבוֹהַ | 8.1, 9, 10, 11 |
| CVE-2021-0435 | A-174150451 | תְעוּדַת זֶהוּת | גָבוֹהַ | 8.1, 9, 10, 11 |
עדכוני מערכת של Google Play
הנושאים הבאים כלולים ברכיבי Project Mainline.
| רְכִיב | CVE |
|---|---|
| סטטסד | CVE-2021-0426, CVE-2021-0427, CVE-2021-0432 |
2021-04-05 פרטי פגיעות ברמת תיקון האבטחה
בסעיפים שלהלן אנו מספקים פרטים על כל אחת מפגיעות האבטחה החלות על רמת התיקון 2021-04-05. פגיעויות מקובצות לפי הרכיב עליו הן משפיעות. הבעיות מתוארות בטבלאות שלהלן וכוללות מזהה CVE, הפניות משויכות, סוג פגיעות , חומרתן וגרסאות AOSP מעודכנות (היכן שרלוונטי). כאשר הוא זמין, אנו מקשרים את השינוי הציבורי שעסק בבעיה למזהה הבאג, כמו רשימת השינויים של AOSP. כאשר שינויים מרובים מתייחסים לבאג יחיד, אזכורים נוספים מקושרים למספרים בעקבות מזהה הבאג.
מערכת
הפגיעות הקשה ביותר בסעיף זה עשויה לאפשר ליישום זדוני מקומי לעקוף את דרישות האינטראקציה של המשתמש בכדי לקבל גישה להרשאות נוספות.
| CVE | הפניות | סוּג | חוּמרָה | גרסאות AOSP מעודכנות |
|---|---|---|---|---|
| CVE-2021-0445 | A-172322502 | EoP | גָבוֹהַ | 9, 11 |
רכיבי ליבה
הפגיעות הקשה ביותר בסעיף זה עשויה לאפשר לתוקף מקומי המשתמש בקובץ בעל מבנה מיוחד לבצע קוד שרירותי בהקשר של תהליך מורשה.
| CVE | הפניות | סוּג | חוּמרָה | רְכִיב |
|---|---|---|---|---|
| CVE-2020-15436 | A-174737742 גרעין במעלה הזרם | EoP | גָבוֹהַ | תת מערכת לבלוק התקנים |
| CVE-2020-25705 | A-174737972 גרעין במעלה הזרם | תְעוּדַת זֶהוּת | גָבוֹהַ | ICMP |
רכיבי MediaTek
פגיעות זו משפיעה על רכיבי MediaTek ופרטים נוספים זמינים ישירות מ- MediaTek. הערכת חומרת הנושא ניתנת ישירות על ידי MediaTek.
| CVE | הפניות | חוּמרָה | רְכִיב | |
|---|---|---|---|---|
| CVE-2021-0468 | A-180427272 M-ALPS05518125 * | גָבוֹהַ | LK |
רכיבי קוואלקום
פגיעות זו משפיעה על רכיבי Qualcomm ומתוארת בפירוט רב יותר בעלון האבטחה המתאים של Qualcomm או התראת האבטחה. הערכת חומרת הבעיה ניתנת ישירות על ידי קוואלקום.
| CVE | הפניות | חוּמרָה | רְכִיב | |
|---|---|---|---|---|
| CVE-2020-11234 | A-170139095 QC-CR # 2439497 [ 2 ] | גָבוֹהַ | גַרעִין |
רכיבי קוד סגור של קוואלקום
נקודות תורפה אלו משפיעות על רכיבי קוד סגור של קוואלקום ומתוארות בפירוט רב יותר בעלון האבטחה המתאים או התראת האבטחה. הערכת חומרת הנושאים הללו ניתנת ישירות על ידי קוואלקום.
| CVE | הפניות | חוּמרָה | רְכִיב | |
|---|---|---|---|---|
| CVE-2020-11210 | A-170138788 * | קריטי | רכיב מקור סגור | |
| CVE-2020-11191 | A-170138864 * | גָבוֹהַ | רכיב מקור סגור | |
| CVE-2020-11236 | A-170138748 * | גָבוֹהַ | רכיב מקור סגור | |
| CVE-2020-11237 | A-170138790 * | גָבוֹהַ | רכיב מקור סגור | |
| CVE-2020-11242 | A-170138747 * | גָבוֹהַ | רכיב מקור סגור | |
| CVE-2020-11243 | A-170139096 * | גָבוֹהַ | רכיב מקור סגור | |
| CVE-2020-11245 | A-170138750 * | גָבוֹהַ | רכיב מקור סגור | |
| CVE-2020-11246 | A-159482433 * | גָבוֹהַ | רכיב מקור סגור | |
| CVE-2020-11247 | A-170138749 * | גָבוֹהַ | רכיב מקור סגור | |
| CVE-2020-11251 | A-170137904 * | גָבוֹהַ | רכיב מקור סגור | |
| CVE-2020-11252 | A-170138791 * | גָבוֹהַ | רכיב מקור סגור | |
| CVE-2020-11255 | A-170138865 * | גָבוֹהַ | רכיב מקור סגור |
שאלות ותשובות נפוצות
חלק זה עונה על שאלות נפוצות שעשויות להתרחש לאחר קריאת העלון הזה.
1. כיצד אוכל לקבוע אם המכשיר שלי מעודכן לטפל בבעיות אלה?
כדי ללמוד כיצד לבדוק את רמת תיקון האבטחה של המכשיר, ראה בדוק ועדכן את גרסת Android שלך .
- רמות תיקון אבטחה של 2021-04-01 ואילך מטפלות בכל הבעיות הקשורות לרמת תיקון האבטחה 2021-04-01.
- רמות תיקון אבטחה של 2021-04-05 ואילך מטפלות בכל הבעיות הקשורות לרמת תיקון האבטחה 2021-04-05 ובכל רמות התיקון הקודמות.
יצרני מכשירים הכוללים עדכונים אלה צריכים להגדיר את רמת מחרוזת התיקון ל:
- [ro.build.version.security_patch]: [2021-04-01]
- [ro.build.version.security_patch]: [2021-04-05]
עבור מכשירים מסוימים ב- Android 10 ואילך, עדכון המערכת של Google Play יכלול מחרוזת תאריך שתואמת את רמת תיקון האבטחה 2021-04-01. אנא עייןבמאמר זה לקבלת פרטים נוספים על התקנת עדכוני אבטחה.
2. מדוע בעלון זה כולל שתי רמות תיקון אבטחה?
בעלון זה יש שתי רמות תיקון אבטחה, כך שלשותפי Android יש את הגמישות לתקן מערך משנה של נקודות תורפה שדומות בכל מכשירי Android במהירות רבה יותר. שותפי Android מוזמנים לתקן את כל הבעיות בעלון זה ולהשתמש ברמת תיקון האבטחה העדכנית ביותר.
- התקנים המשתמשים ברמת תיקון האבטחה 2021-04-01 חייבים לכלול את כל הבעיות הקשורות לאותה רמת תיקון אבטחה, כמו גם תיקונים לכל הבעיות שדווחו בעלוני האבטחה הקודמים.
- התקנים המשתמשים ברמת תיקון האבטחה של 2021-04-05 ומעלה חייבים לכלול את כל התיקונים הרלוונטיים בעלוני האבטחה (וקודם) זה.
השותפים מוזמנים לאגד את התיקונים לכל הבעיות שהם מטפלים בהם בעדכון יחיד.
3. מה המשמעות של הערכים בעמודה סוג ?
רשומות בעמודה סוג בטבלת פרטי הפגיעות מתייחסות לסיווג הפגיעות האבטחה.
| נוֹטָרִיקוֹן | הַגדָרָה |
|---|---|
| RCE | ביצוע קוד מרחוק |
| EoP | הרמת זכות |
| תְעוּדַת זֶהוּת | גילוי מידע |
| DoS | מניעת שירות |
| לא | סיווג אינו זמין |
4. מה המשמעות של הערכים בעמודה הפניות ?
רשומות בעמודה הפניות בטבלת פרטי הפגיעות עשויות להכיל קידומת המזהה את הארגון אליו שייך הערך הפניה.
| קידומת | התייחסות |
|---|---|
| א- | מזהה באג של Android |
| QC- | מספר התייחסות של קוואלקום |
| M- | מספר הפניה של MediaTek |
| N- | מספר התייחסות של NVIDIA |
| B- | מספר הפניה לברודקום |
5. מה המשמעות של * ליד מזהה הבאג של Android בעמודה הפניות ?
לבעיות שאינן זמינות לציבור יש * לצד מזהה ההתייחסות המתאים. העדכון לבעיה זו כלול בדרך כלל במנהלי ההתקנים הבינאריים האחרונים למכשירי Pixel הזמינים באתר המפתחים של גוגל .
6. מדוע חולשות אבטחה מפוצלות בין עלון זה לבין עלוני אבטחה של מכשיר / שותף, כמו עלון פיקסל?
פרצות אבטחה המתועדות בעלון אבטחה זה נדרשות להכריז על רמת תיקון האבטחה האחרונה במכשירי Android. פרצות אבטחה נוספות המתועדות בעלוני האבטחה של המכשיר / של השותף אינם נדרשים לצורך הכרזה על רמת תיקון אבטחה. יצרני מכשירי Android וערכת השבבים עשויים גם לפרסם פרטי פגיעות אבטחה ספציפיים למוצריהם, כגון גוגל , Huawei , LGE , מוטורולה , נוקיה או סמסונג .
גרסאות
| גִרְסָה | תַאֲרִיך | הערות |
|---|---|---|
| 1.0 | 5 באפריל 2021 | עלון פורסם. |
| 1.1 | 7 באפריל 2021 | העלון תוקן כך שיכלול קישורי AOSP. |
| 1.2 | 2 ביוני 2021 | הוסר CVE-2021-0428 עקב בעיות תאימות ליישומים. |