עלון אבטחה של Android - מאי 2021

פורסם ב -3 במאי 2021 | עודכן ב- 4 במאי 2021

עלון האבטחה של Android מכיל פרטים על פרצות אבטחה המשפיעות על מכשירי Android. רמות תיקון האבטחה של 2021-05-05 ואילך מטפלות בכל הבעיות הללו. כדי ללמוד כיצד לבדוק רמת תיקון האבטחה של מכשיר, לראות לבדוק ולעדכן את גרסת Android שלך .

שותפי Android מקבלים הודעה על כל הבעיות לפחות חודש לפני הפרסום. תיקוני קוד המקור לבעיות אלה שוחררו למאגר ה- Android Open Source Project (AOSP) וקושרו מעלון זה. עלון זה כולל גם קישורים לתיקונים מחוץ ל- AOSP.

החמורה מבין הבעיות הללו היא פגיעות אבטחה קריטית ברכיב המערכת שעשויה לאפשר לתוקף מרוחק המשתמש בקובץ בעל מבנה מיוחד לבצע קוד שרירותי בהקשר של תהליך מועדף. הערכת החומרה מבוססת על ההשפעה שתהיה לניצול הפגיעות ואולי יצטרך על התקן מושפע, בהנחת הקלות הפלטפורמה ושירות כבויות למטרות פיתוח או אם עקפו בהצלחה.

עיין אנדרואיד ו- Google Play קלת גן סעיף לפרטים על גינות פלטפורמת אבטחת אנדרואיד ו- Google Play להגן, אשר לשפר את האבטחה של פלטפורמת אנדרואיד.

הפחתת שירותים של Android ו- Google

זהו סיכום של ההקלות שמספקות פלטפורמת אבטחת אנדרואיד גינות ושירות כגון Google Play גן . יכולות אלה מקטינות את הסבירות שניתן לנצל בהצלחה פגיעויות אבטחה באנדרואיד.

  • ניצול לבעיות רבות באנדרואיד מקשה על ידי שיפורים בגרסאות החדשות יותר של פלטפורמת אנדרואיד. אנו ממליצים לכל המשתמשים לעדכן לגרסה האחרונה של Android, במידת האפשר.
  • צוות האבטחה של אנדרואיד פעיל מפקח על התעללות באמצעות Google Play גן והמזהיר משתמש על יישומים בעלי פוטנציאל מזיקים . Google Play הגן מופעלת כברירת מחדל בהתקנים עם שירותים של Google Mobile , והיא חשובה במיוחד עבור משתמשים אשר מתקינים אפליקציות מחוץ ל- Google Play.

2021-05-01 פרטים על פגיעות ברמת תיקון האבטחה

בסעיפים שלמטה אנו מספקים פרטים עבור כל אחת מפגיעות האבטחה החלות על רמת התיקון 2021-05-01. פגיעויות מקובצות לפי הרכיב עליו הן משפיעות. סוגיות מתוארות בטבלאות שלהלן כוללות CVE מזהה, אזכור קשור, סוג של פגיעות , חומרה , וכן גרסות AOSP מעודכנות (לפי עניין). כאשר הוא זמין, אנו מקשרים את השינוי הציבורי שעסק בבעיה למזהה הבאג, כמו רשימת השינויים של AOSP. כאשר שינויים מרובים מתייחסים לבאג יחיד, אזכורים נוספים מקושרים למספרים בעקבות מזהה הבאג. התקנים עם 10 אנדרואיד ובהמשך עשוי לקבל עדכוני אבטחה וכן עדכוני מערכת ההפעלה Google .

מִסגֶרֶת

הפגיעות הקשה ביותר בסעיף זה עשויה לאפשר ליישום זדוני מקומי לעקוף את דרישות האינטראקציה של המשתמש בכדי לקבל גישה להרשאות נוספות.

CVE הפניות סוּג חוּמרָה גרסאות AOSP מעודכנות
CVE-2021-0472 A-176801033 EoP גָבוֹהַ 9, 10, 11
CVE-2021-0485 A-174302616 EoP גָבוֹהַ 11
CVE-2021-0487 A-174046397 EoP גָבוֹהַ 11

מסגרת מדיה

הפגיעות הקשה ביותר בסעיף זה עשויה לאפשר ליישום זדוני מקומי לעקוף את דרישות האינטראקציה של המשתמש בכדי לקבל גישה להרשאות נוספות.

CVE הפניות סוּג חוּמרָה גרסאות AOSP מעודכנות
CVE-2021-0482 A-173791720 EoP גָבוֹהַ 11
CVE-2021-0484 A-173720767 תְעוּדַת זֶהוּת גָבוֹהַ 8.1, 9, 10, 11

מערכת

הפגיעות הקשה ביותר בסעיף זה עשויה לאפשר לתוקף מרוחק המשתמש בקובץ בעל מבנה מיוחד לבצע קוד שרירותי בהקשר לתהליך מורשה.

CVE הפניות סוּג חוּמרָה גרסאות AOSP מעודכנות
CVE-2021-0473 A-179687208 RCE קריטי 8.1, 9, 10, 11
CVE-2021-0474 A-177611958 RCE קריטי 8.1, 9, 10, 11
CVE-2021-0475 A-175686168 RCE קריטי 10, 11
CVE-2021-0476 A-169252501 EoP גָבוֹהַ 9, 10, 11
CVE-2021-0477 A-178189250 EoP גָבוֹהַ 8.1, 9, 10, 11
CVE-2021-0481 A-172939189 EoP גָבוֹהַ 8.1, 9, 10, 11
CVE-2021-0466 A-154114734 תְעוּדַת זֶהוּת גָבוֹהַ 10
CVE-2021-0480 A-174493336 תְעוּדַת זֶהוּת גָבוֹהַ 8.1, 9, 10, 11

עדכוני מערכת של Google Play

אין בעיות אבטחה שעוסקות בעדכוני מערכת Google Play (Project Mainline) החודש.

פרטי פגיעות ברמת תיקון האבטחה 2021-05-05

בסעיפים שלמטה אנו מספקים פרטים על כל אחת מפגיעות האבטחה החלות על רמת התיקון 2021-05-05. פגיעויות מקובצות לפי הרכיב עליו הן משפיעות. סוגיות מתוארות בטבלאות שלהלן כוללות CVE מזהה, אזכור קשור, סוג של פגיעות , חומרה , וכן גרסות AOSP מעודכנות (לפי עניין). כאשר הוא זמין, אנו מקשרים את השינוי הציבורי שעסק בבעיה למזהה הבאג, כמו רשימת השינויים של AOSP. כאשר שינויים מרובים מתייחסים לבאג יחיד, אזכורים נוספים מקושרים למספרים בעקבות מזהה הבאג.

מִסגֶרֶת

הפגיעות בסעיף זה עשויה לאפשר ליישום זדוני מקומי לעקוף את הגנות מערכת ההפעלה המבודדות נתוני יישומים מיישומים אחרים.

CVE הפניות סוּג חוּמרָה גרסאות AOSP מעודכנות
CVE-2019-2219 A-119041698 תְעוּדַת זֶהוּת גָבוֹהַ 11

רכיבי ליבה

הפגיעות בסעיף זה עשויה לאפשר לתוקף מקומי לעקוף את דרישות האינטראקציה של המשתמש בכדי לקבל גישה להרשאות נוספות.

CVE הפניות סוּג חוּמרָה רְכִיב
CVE-2020-29661 A-175451802
גרעין במעלה הזרם
EoP גָבוֹהַ TTY

AMLogic

פגיעות זו משפיעה על רכיבי AMLogic ופרטים נוספים זמינים ישירות מ- AMLogic. הערכת חומרת הבעיה ניתנת ישירות על ידי AMLogic.

CVE הפניות חוּמרָה רְכִיב
CVE-2021-0467 A-174490700 * קריטי bootROM

רכיבי ARM

פרצות אלו משפיעות על רכיבי ARM ופרטים נוספים זמינים ישירות מ- ARM. הערכת חומרת הנושאים הללו ניתנת ישירות על ידי ARM.

CVE הפניות חוּמרָה רְכִיב
CVE-2021-28663
A-174259860 * גָבוֹהַ מאלי
CVE-2021-28664
A-174588870 * גָבוֹהַ מאלי

רכיבי MediaTek

פרצות אלו משפיעות על רכיבי MediaTek ופרטים נוספים זמינים ישירות מ- MediaTek. הערכת חומרת הנושאים הללו ניתנת ישירות על ידי MediaTek.

CVE הפניות חוּמרָה רְכִיב
CVE-2021-0489 A-183464866
M-ALPS05403499 *
גָבוֹהַ הנהג לניהול זיכרון
CVE-2021-0490
A-183464868
M-ALPS05403499 *
גָבוֹהַ הנהג לניהול זיכרון
CVE-2021-0491 A-183461315
M-ALPS05403499 *
גָבוֹהַ הנהג לניהול זיכרון
CVE-2021-0492 A-183459078
M-ALPS05403499 *
גָבוֹהַ הנהג לניהול זיכרון
CVE-2021-0493
A-183461317
M-ALPS05403499 *
גָבוֹהַ הנהג לניהול זיכרון
CVE-2021-0494 A-183461318
M-ALPS05403499 *
גָבוֹהַ הנהג לניהול זיכרון
CVE-2021-0495 A-183459083
M-ALPS05403499 *
גָבוֹהַ הנהג לניהול זיכרון
CVE-2021-0496 A-183467912
M-ALPS05403499 *
גָבוֹהַ הנהג לניהול זיכרון
CVE-2021-0497 A-183461320
M-ALPS05403499 *
גָבוֹהַ הנהג לניהול זיכרון
CVE-2021-0498 A-183461321
M-ALPS05403499 *
גָבוֹהַ הנהג לניהול זיכרון

רכיבי Unisoc

פגיעות זו משפיעה על רכיבי Unisoc ופרטים נוספים זמינים ישירות מ- Unisoc. הערכת חומרת הנושא ניתנת ישירות על ידי יוניסוק.

CVE הפניות חוּמרָה רְכִיב
CVE-2021-0324 A-175402462 * גָבוֹהַ מִסגֶרֶת

רכיבי קוואלקום

נקודות תורפה אלו משפיעות על רכיבי Qualcomm ומתוארות בפירוט רב יותר בעלון האבטחה המתאים של Qualcomm או התראת האבטחה. הערכת חומרת הנושאים הללו ניתנת ישירות על ידי קוואלקום.

CVE הפניות חוּמרָה רְכִיב
CVE-2021-1891 A-179039763
QC-CR # 2766242 [ 2 ]
גָבוֹהַ שֶׁמַע
CVE-2021-1905 A-178809945
QC-CR # 2826864
גָבוֹהַ לְהַצִיג
CVE-2021-1927 A-179040600
QC-CR # 2827356
גָבוֹהַ גַרעִין
CVE-2021-1906 A-178810049
QC-CR # 2835082
לְמַתֵן לְהַצִיג

רכיבי קוד סגור של קוואלקום

נקודות תורפה אלו משפיעות על רכיבי קוד סגור של קוואלקום ומתוארות בפירוט רב יותר בעלון האבטחה המתאים או התראת האבטחה. הערכת חומרת הנושאים הללו ניתנת ישירות על ידי קוואלקום.

CVE הפניות חוּמרָה רְכִיב
CVE-2020-11273 A-172348952 * גָבוֹהַ רכיב מקור סגור
CVE-2020-11274
A-172348993 * גָבוֹהַ רכיב מקור סגור
CVE-2020-11279 A-172348857 * גָבוֹהַ רכיב מקור סגור
CVE-2020-11284 A-172348929 * גָבוֹהַ רכיב מקור סגור
CVE-2020-11285 A-172349029 * גָבוֹהַ רכיב מקור סגור
CVE-2020-11288 A-172348722 * גָבוֹהַ רכיב מקור סגור
CVE-2020-11289 A-172348852 * גָבוֹהַ רכיב מקור סגור
CVE-2021-1910 A-179039901 * גָבוֹהַ רכיב מקור סגור
CVE-2021-1915 A-172944461 * גָבוֹהַ רכיב מקור סגור

שאלות נפוצות ותשובות

חלק זה עונה על שאלות נפוצות שעשויות להתרחש לאחר קריאת העלון הזה.

1. כיצד אוכל לקבוע אם המכשיר שלי מעודכן לטפל בבעיות אלה?

כדי ללמוד כיצד לבדוק רמת תיקון האבטחה של מכשיר, לראות לבדוק ולעדכן את גרסת Android שלך .

  • רמות תיקון האבטחה של 2021-05-01 ואילך מטפלות בכל הבעיות הקשורות לרמת תיקון האבטחה 2021-05-01.
  • רמות תיקון האבטחה של 2021-05-05 ואילך מטפלות בכל הבעיות הקשורות לרמת תיקון האבטחה 2021-05-05 ובכל רמות התיקון הקודמות.

יצרני מכשירים הכוללים עדכונים אלה צריכים להגדיר את רמת מחרוזת התיקון ל:

  • [ro.build.version.security_patch]: [2021-05-01]
  • [ro.build.version.security_patch]: [2021-05-05]

עבור מכשירים מסוימים ב- Android 10 ואילך, עדכון המערכת של Google Play יכלול מחרוזת תאריך שתואמת את רמת תיקון האבטחה 2021-05-01. אנא ראה את המאמר הזה לקבלת פרטים נוספים על אופן התקנת עדכוני אבטחה.

2. מדוע בעלון זה כולל שתי רמות תיקון אבטחה?

בעלון זה יש שתי רמות תיקון אבטחה, כך שלשותפי Android יש את הגמישות לתקן מערך משנה של נקודות תורפה שדומות בכל מכשירי Android במהירות רבה יותר. שותפי Android מוזמנים לתקן את כל הבעיות בעלון זה ולהשתמש ברמת תיקון האבטחה העדכנית ביותר.

  • התקנים המשתמשים ברמת תיקון האבטחה 2021-05-01 חייבים לכלול את כל הבעיות הקשורות לאותה רמת תיקון אבטחה, כמו גם תיקונים לכל הבעיות שדווחו בעלוני האבטחה הקודמים.
  • התקנים המשתמשים ברמת תיקון האבטחה של 2021-05-05 ומעלה חייבים לכלול את כל התיקונים הרלוונטיים בעלוני האבטחה (וקודם) זה.

השותפים מוזמנים לאגד את התיקונים לכל הבעיות שהם מטפלים בהם בעדכון יחיד.

3. מה לעשות הערכים הממוצעים בעמודת סוג?

לערכים בעמודת הסוג של פגיעות מפרט התייחסות שולחן הסיווג של פגיעות האבטחה.

נוֹטָרִיקוֹן הַגדָרָה
RCE ביצוע קוד מרחוק
EoP הרמת זכות
תְעוּדַת זֶהוּת גילוי מידע
DoS מניעת שירות
לא סיווג אינו זמין

4. מה לעשות הערכים הממוצעים בעמודת הפניות?

רשום תחת עמודת ההפניות של שולחן פרטי פגיעות עלולים להכיל קידומת זיהוי הארגון שאליו לערך הייחוס שייך.

קידומת התייחסות
א- מזהה באג של Android
QC- מספר התייחסות של קוואלקום
M- מספר הפניה של MediaTek
N- מספר התייחסות של NVIDIA
B- מספר הפניה לברודקום

5. מה עושה * לצד הזיהוי באג אנדרואיד בתוחלת הפניות לעמודות?

לבעיות שאינן זמינות לציבור יש * לצד מזהה ההתייחסות המתאים. העדכון עבור בעיה כי הוא הכיל בדרך כלל הנהגים בינארי החדשים ביותר עבור התקנים פיקסל זמינים באתר המפתחים של גוגל .

6. מדוע חולשות אבטחה מפוצלות בין עלון זה לבין עלוני אבטחה של מכשיר / שותף, כמו עלון פיקסל?

פרצות אבטחה המתועדות בעלון אבטחה זה נדרשות להכריז על רמת תיקון האבטחה האחרונה במכשירי Android. פרצות אבטחה נוספות המתועדות בעלוני האבטחה של המכשיר / של השותף אינם נדרשים לצורך הכרזה על רמת תיקון אבטחה. מכשיר שבבים אנדרואיד יצרנים ייתכן שיפרסמו פרטים פגיעי אבטחה ספציפית למוצרים שלהם, כגון גוגל , Huawei , LGE , מוטורולה , נוקיה , או סמסונג .

גרסאות

גִרְסָה תַאֲרִיך הערות
1.0 3 במאי 2021 עלון פורסם.
1.1 4 במאי 2021 העלון תוקן כך שיכלול קישורי AOSP