עלון אבטחה של Android - אפריל 2021

פורסם ב -5 באפריל 2021 | עודכן ב- 7 באפריל 2021

עלון האבטחה של Android מכיל פרטים על פרצות אבטחה המשפיעות על מכשירי Android. רמות תיקון האבטחה של 2021-04-05 ואילך מטפלות בכל הבעיות הללו. כדי ללמוד כיצד לבדוק את רמת תיקון האבטחה של המכשיר, ראהבדוק ועדכן את גרסת Android שלך .

שותפי Android מקבלים הודעה על כל הבעיות לפחות חודש לפני הפרסום. תיקוני קוד המקור לבעיות אלה שוחררו למאגר Android Open Source Project (AOSP) וקושרו מעלון זה. עלון זה כולל גם קישורים לתיקונים מחוץ ל- AOSP.

החמורה מבין הבעיות הללו היא פגיעות אבטחה קריטית ברכיב המערכת שעלולה לאפשר לתוקף מרוחק המשתמש בקובץ בעל מבנה מיוחד לבצע קוד שרירותי בהקשר של תהליך מורשה. הערכת החומרה מבוססת על ההשפעה שיש לנצל את הפגיעות על מכשיר מושפע, בהנחה שהפלטפורמה והפחתת השירות מושבתים לצורכי פיתוח או אם עוקפים אותם בהצלחה.

עיין בסעיף הפחתת האנדרואיד ו- Google Play לפרטים אודות ההגנות על פלטפורמת האבטחה של Android ו- Google Play Protect, המשפרים את האבטחה של פלטפורמת Android.

הפחתת שירותים של Android ו- Google

זהו סיכום הפחתות המסופקות על ידי פלטפורמת האבטחה של Android והגנות שירות כגון Google Play Protect . יכולות אלה מקטינות את הסבירות שניתן לנצל בהצלחה פגיעויות אבטחה באנדרואיד.

  • ניצול לבעיות רבות באנדרואיד מקשה על ידי שיפורים בגרסאות החדשות יותר של פלטפורמת אנדרואיד. אנו ממליצים לכל המשתמשים לעדכן לגרסה האחרונה של Android, במידת האפשר.
  • צוות האבטחה של Android מפקח באופן פעיל על התעללות באמצעות Google Play Protect ומזהיר משתמשים מפני יישומים שעלולים להזיק . הגנה על Google Play מופעלת כברירת מחדל במכשירים עם שירותי המובייל של גוגל , והיא חשובה במיוחד עבור משתמשים שמתקינים אפליקציות מחוץ לגוגל פליי.

2021-04-01 פרטים על פגיעות ברמת תיקון האבטחה

בסעיפים שלמטה אנו מספקים פרטים עבור כל אחת מפגיעות האבטחה החלות על רמת התיקון 2021-04-01. פגיעויות מקובצות לפי הרכיב עליו הן משפיעות. הבעיות מתוארות בטבלאות שלהלן וכוללות מזהה CVE, הפניות משויכות, סוג פגיעות , חומרתן וגרסאות AOSP מעודכנות (היכן שרלוונטי). כאשר הוא זמין, אנו מקשרים את השינוי הציבורי שעסק בבעיה למזהה הבאג, כמו רשימת השינויים של AOSP. כאשר שינויים מרובים מתייחסים לבאג יחיד, אזכורים נוספים מקושרים למספרים בעקבות מזהה הבאג. מכשירים עם Android 10 ואילך עשויים לקבל עדכוני אבטחה וכן עדכוני מערכת של Google Play .

מִסגֶרֶת

הפגיעות הקשה ביותר בסעיף זה עלולה לאפשר למשתמש זדוני לזייף נתוני מיקום באמצעות מיקום ללעג במהלך שיחה לשירותי החירום.

CVE הפניות סוּג חוּמרָה גרסאות AOSP מעודכנות
CVE-2021-0400 A-177561690 EoP גָבוֹהַ 9, 10, 11
CVE-2021-0426 A-174485572 EoP גָבוֹהַ 11
CVE-2021-0427 A-174488848 EoP גָבוֹהַ 11
CVE-2021-0432 A-173552790 EoP גָבוֹהַ 11
CVE-2021-0438 A-152064592 EoP גָבוֹהַ 8.1, 9, 10
CVE-2021-0439 A-174243830 EoP גָבוֹהַ 11
CVE-2021-0442 A-174768985 EoP גָבוֹהַ 11
CVE-2021-0443 A-170474245 תְעוּדַת זֶהוּת גָבוֹהַ 8.1, 9, 10, 11
CVE-2021-0444 A-178825358 תְעוּדַת זֶהוּת גָבוֹהַ 8.1, 9, 10, 11

מסגרת מדיה

הפגיעות הקשה ביותר בסעיף זה עשויה לאפשר ליישום זדוני מקומי לעקוף את דרישות האינטראקציה של המשתמש בכדי לקבל גישה להרשאות נוספות.

CVE הפניות סוּג חוּמרָה גרסאות AOSP מעודכנות
CVE-2021-0437 A-176168330 EoP גָבוֹהַ 8.1, 9, 10, 11
CVE-2021-0436 A-176496160 [ 2 ] תְעוּדַת זֶהוּת גָבוֹהַ 8.1, 9, 10, 11
CVE-2021-0471 A-176444786 [ 2 ] תְעוּדַת זֶהוּת גָבוֹהַ 8.1, 9, 10, 11

מערכת

הפגיעות הקשה ביותר בסעיף זה עשויה לאפשר לתוקף מרוחק המשתמש בקובץ בעל מבנה מיוחד לבצע קוד שרירותי בהקשר לתהליך מורשה.

CVE הפניות סוּג חוּמרָה גרסאות AOSP מעודכנות
CVE-2021-0430 A-178725766 RCE קריטי 10, 11
CVE-2021-0429 A-175074139 [ 2 ] EoP גָבוֹהַ 8.1, 9, 10, 11
CVE-2021-0433 A-171221090 [ 2 ] EoP גָבוֹהַ 8.1, 9, 10, 11
CVE-2021-0446 A-172252122 EoP גָבוֹהַ 11
CVE-2021-0431 A-174149901 תְעוּדַת זֶהוּת גָבוֹהַ 8.1, 9, 10, 11
CVE-2021-0435 A-174150451 תְעוּדַת זֶהוּת גָבוֹהַ 8.1, 9, 10, 11

עדכוני מערכת של Google Play

הנושאים הבאים כלולים ברכיבי Project Mainline.

רְכִיב CVE
סטטסד CVE-2021-0426, CVE-2021-0427, CVE-2021-0432

2021-04-05 פרטי פגיעות ברמת תיקון האבטחה

בסעיפים שלהלן אנו מספקים פרטים על כל אחת מפגיעות האבטחה החלות על רמת התיקון 2021-04-05. פגיעויות מקובצות לפי הרכיב עליו הן משפיעות. הבעיות מתוארות בטבלאות שלהלן וכוללות מזהה CVE, הפניות משויכות, סוג פגיעות , חומרתן וגרסאות AOSP מעודכנות (היכן שרלוונטי). כאשר הוא זמין, אנו מקשרים את השינוי הציבורי שעסק בבעיה למזהה הבאג, כמו רשימת השינויים של AOSP. כאשר שינויים מרובים מתייחסים לבאג יחיד, אזכורים נוספים מקושרים למספרים בעקבות מזהה הבאג.

מערכת

הפגיעות הקשה ביותר בסעיף זה עשויה לאפשר ליישום זדוני מקומי לעקוף את דרישות האינטראקציה של המשתמש בכדי לקבל גישה להרשאות נוספות.

CVE הפניות סוּג חוּמרָה גרסאות AOSP מעודכנות
CVE-2021-0445 A-172322502 EoP גָבוֹהַ 9, 11

רכיבי ליבה

הפגיעות הקשה ביותר בסעיף זה עשויה לאפשר לתוקף מקומי המשתמש בקובץ בעל מבנה מיוחד לבצע קוד שרירותי בהקשר של תהליך מורשה.

CVE הפניות סוּג חוּמרָה רְכִיב
CVE-2020-15436 A-174737742
גרעין במעלה הזרם
EoP גָבוֹהַ תת מערכת לבלוק התקנים
CVE-2020-25705 A-174737972
גרעין במעלה הזרם
תְעוּדַת זֶהוּת גָבוֹהַ ICMP

רכיבי MediaTek

פגיעות זו משפיעה על רכיבי MediaTek ופרטים נוספים זמינים ישירות מ- MediaTek. הערכת חומרת הנושא ניתנת ישירות על ידי MediaTek.

CVE הפניות חוּמרָה רְכִיב
CVE-2021-0468 A-180427272
M-ALPS05518125 *
גָבוֹהַ LK

רכיבי קוואלקום

פגיעות זו משפיעה על רכיבי Qualcomm ומתוארת בפירוט רב יותר בעלון האבטחה המתאים של Qualcomm או התראת האבטחה. הערכת חומרת הבעיה ניתנת ישירות על ידי קוואלקום.

CVE הפניות חוּמרָה רְכִיב
CVE-2020-11234 A-170139095
QC-CR # 2439497 [ 2 ]
גָבוֹהַ גַרעִין

רכיבי קוד סגור של קוואלקום

נקודות תורפה אלו משפיעות על רכיבי קוד סגור של קוואלקום ומתוארות בפירוט רב יותר בעלון האבטחה המתאים או התראת האבטחה. הערכת חומרת הנושאים הללו ניתנת ישירות על ידי קוואלקום.

CVE הפניות חוּמרָה רְכִיב
CVE-2020-11210 A-170138788 * קריטי רכיב מקור סגור
CVE-2020-11191 A-170138864 * גָבוֹהַ רכיב מקור סגור
CVE-2020-11236 A-170138748 * גָבוֹהַ רכיב מקור סגור
CVE-2020-11237 A-170138790 * גָבוֹהַ רכיב מקור סגור
CVE-2020-11242 A-170138747 * גָבוֹהַ רכיב מקור סגור
CVE-2020-11243 A-170139096 * גָבוֹהַ רכיב מקור סגור
CVE-2020-11245 A-170138750 * גָבוֹהַ רכיב מקור סגור
CVE-2020-11246 A-159482433 * גָבוֹהַ רכיב מקור סגור
CVE-2020-11247 A-170138749 * גָבוֹהַ רכיב מקור סגור
CVE-2020-11251 A-170137904 * גָבוֹהַ רכיב מקור סגור
CVE-2020-11252 A-170138791 * גָבוֹהַ רכיב מקור סגור
CVE-2020-11255 A-170138865 * גָבוֹהַ רכיב מקור סגור

שאלות ותשובות נפוצות

חלק זה עונה על שאלות נפוצות שעשויות להתרחש לאחר קריאת העלון הזה.

1. כיצד אוכל לקבוע אם המכשיר שלי מעודכן לטפל בבעיות אלה?

כדי ללמוד כיצד לבדוק את רמת תיקון האבטחה של המכשיר, ראה בדוק ועדכן את גרסת Android שלך .

  • רמות תיקון אבטחה של 2021-04-01 ואילך מטפלות בכל הבעיות הקשורות לרמת תיקון האבטחה 2021-04-01.
  • רמות תיקון אבטחה של 2021-04-05 ואילך מטפלות בכל הבעיות הקשורות לרמת תיקון האבטחה 2021-04-05 ובכל רמות התיקון הקודמות.

יצרני מכשירים הכוללים עדכונים אלה צריכים להגדיר את רמת מחרוזת התיקון ל:

  • [ro.build.version.security_patch]: [2021-04-01]
  • [ro.build.version.security_patch]: [2021-04-05]

עבור מכשירים מסוימים ב- Android 10 ואילך, עדכון המערכת של Google Play יכלול מחרוזת תאריך שתואמת את רמת תיקון האבטחה 2021-04-01. אנא עייןבמאמר זה לקבלת פרטים נוספים על התקנת עדכוני אבטחה.

2. מדוע בעלון זה כולל שתי רמות תיקון אבטחה?

בעלון זה יש שתי רמות תיקון אבטחה, כך שלשותפי Android יש את הגמישות לתקן מערך משנה של נקודות תורפה שדומות בכל מכשירי Android במהירות רבה יותר. שותפי Android מוזמנים לתקן את כל הבעיות בעלון זה ולהשתמש ברמת תיקון האבטחה העדכנית ביותר.

  • התקנים המשתמשים ברמת תיקון האבטחה 2021-04-01 חייבים לכלול את כל הבעיות הקשורות לאותה רמת תיקון אבטחה, כמו גם תיקונים לכל הבעיות שדווחו בעלוני האבטחה הקודמים.
  • התקנים המשתמשים ברמת תיקון האבטחה של 2021-04-05 ומעלה חייבים לכלול את כל התיקונים הרלוונטיים בעלוני האבטחה (וקודם) זה.

השותפים מוזמנים לאגד את התיקונים לכל הבעיות שהם מטפלים בהם בעדכון יחיד.

3. מה המשמעות של הערכים בעמודה סוג ?

רשומות בעמודה סוג בטבלת פרטי הפגיעות מתייחסות לסיווג הפגיעות האבטחה.

נוֹטָרִיקוֹן הַגדָרָה
RCE ביצוע קוד מרחוק
EoP הרמת זכות
תְעוּדַת זֶהוּת גילוי מידע
DoS מניעת שירות
לא סיווג אינו זמין

4. מה המשמעות של הערכים בעמודה הפניות ?

רשומות בעמודה הפניות בטבלת פרטי הפגיעות עשויות להכיל קידומת המזהה את הארגון אליו שייך הערך הפניה.

קידומת התייחסות
א- מזהה באג של Android
QC- מספר התייחסות של קוואלקום
M- מספר הפניה של MediaTek
N- מספר התייחסות של NVIDIA
B- מספר הפניה לברודקום

5. מה המשמעות של * ליד מזהה הבאג של Android בעמודה הפניות ?

לבעיות שאינן זמינות לציבור יש * לצד מזהה ההתייחסות המתאים. העדכון לבעיה זו כלול בדרך כלל במנהלי ההתקנים הבינאריים האחרונים למכשירי Pixel הזמינים באתר המפתחים של גוגל .

6. מדוע חולשות אבטחה מפוצלות בין עלון זה לבין עלוני אבטחה של מכשיר / שותף, כמו עלון פיקסל?

פרצות אבטחה המתועדות בעלון אבטחה זה נדרשות להכריז על רמת תיקון האבטחה האחרונה במכשירי Android. פרצות אבטחה נוספות המתועדות בעלוני האבטחה של המכשיר / של השותף אינם נדרשים לצורך הכרזה על רמת תיקון אבטחה. יצרני מכשירי Android וערכת השבבים עשויים גם לפרסם פרטי פגיעות אבטחה ספציפיים למוצריהם, כגון גוגל , Huawei , LGE , מוטורולה , נוקיה או סמסונג .

גרסאות

גִרְסָה תַאֲרִיך הערות
1.0 5 באפריל 2021 עלון פורסם.
1.1 7 באפריל 2021 העלון תוקן כך שיכלול קישורי AOSP.
1.2 2 ביוני 2021 הוסר CVE-2021-0428 עקב בעיות תאימות ליישומים.