פורסם ב -7 ביולי 2021 | עודכן ב -21 ביולי 2021
עלון האבטחה של Android מכיל פרטים על נקודות תורפה באבטחה המשפיעות על מכשירי Android. רמות תיקון האבטחה של 2021-07-05 ואילך מתייחסות לכל הבעיות הללו. כדי ללמוד כיצד לבדוק רמת תיקון האבטחה של מכשיר, לראות לבדוק ולעדכן את גרסת Android שלך .
שותפי Android מקבלים הודעה על כל הבעיות לפחות חודש לפני הפרסום. תיקוני קוד המקור לבעיות אלה שוחררו למאגר פרויקט הקוד הפתוח של Android (AOSP) ומקושרים מתוך עלון זה. עלון זה כולל גם קישורים לתיקונים מחוץ ל- AOSP.
החמורה ביותר מבעיות אלה היא פגיעות אבטחה גבוהה ברכיב המערכת שעלולה לאפשר לתוקף מרוחק באמצעות קובץ בעל מבנה מיוחד לבצע קוד שרירותי בהקשר של תהליך בעל זכויות יוצרים. הערכת החומרה מבוססת על ההשפעה שתהיה לניצול הפגיעות ואולי יצטרך על התקן מושפע, בהנחת הקלות הפלטפורמה ושירות כבויות למטרות פיתוח או אם עקפו בהצלחה.
עיין אנדרואיד ו- Google Play קלת גן סעיף לפרטים על גינות פלטפורמת אבטחת אנדרואיד ו- Google Play להגן, אשר לשפר את האבטחה של פלטפורמת אנדרואיד.
הפחתת שירותים של Android ו- Google
זהו סיכום של ההקלות שמספקות פלטפורמת אבטחת אנדרואיד גינות ושירות כגון Google Play גן . יכולות אלה מצמצמות את הסבירות שניתן לנצל בהצלחה פגיעויות אבטחה ב- Android.
- הניצול לבעיות רבות באנדרואיד מתקשה על ידי שיפורים בגרסאות חדשות יותר של פלטפורמת האנדרואיד. אנו מעודדים את כל המשתמשים להתעדכן לגרסה העדכנית ביותר של אנדרואיד במידת האפשר.
- צוות האבטחה של אנדרואיד פעיל מפקח על התעללות באמצעות Google Play גן והמזהיר משתמש על יישומים בעלי פוטנציאל מזיקים . Google Play הגן מופעלת כברירת מחדל בהתקנים עם שירותים של Google Mobile , והיא חשובה במיוחד עבור משתמשים אשר מתקינים אפליקציות מחוץ ל- Google Play.
פרטי פגיעות ברמת תיקון האבטחה 2021-07-01
בחלקים שלהלן, אנו מספקים פרטים על כל אחת מפגיעות האבטחה החלות על רמת התיקון 2021-07-01. הפגיעות מקובצות לפי המרכיב שהן משפיעות עליו. סוגיות מתוארות בטבלאות שלהלן כוללות CVE מזהה, אזכור קשור, סוג של פגיעות , חומרה , וכן גרסות AOSP מעודכנות (לפי עניין). כאשר הוא זמין, אנו מקשרים את השינוי הציבורי שהתייחס לבעיה לזהות הבאגים, כמו רשימת השינויים ב- AOSP. כאשר שינויים מרובים מתייחסים לבאג יחיד, הפניות נוספות מקושרות למספרים בעקבות מזהה הבאג. התקנים עם 10 אנדרואיד ובהמשך עשוי לקבל עדכוני אבטחה וכן עדכוני מערכת ההפעלה Google .
מִסגֶרֶת
הפגיעות החמורה ביותר בסעיף זה עשויה לאפשר ליישום זדוני מקומי לעקוף דרישות אינטראקציה של משתמשים על מנת לקבל גישה להרשאות נוספות.
| CVE | הפניות | סוּג | חוּמרָה | עדכוני גרסאות AOSP |
|---|---|---|---|---|
| CVE-2021-0441 | A-174495520 [ 2 ] | EoP | גָבוֹהַ | 11 |
| CVE-2021-0486 | A-171430330 [ 2 ] | EoP | גָבוֹהַ | 10, 11 |
מסגרת מדיה
הפגיעות החמורה ביותר בסעיף זה עשויה לאפשר ליישום זדוני מקומי לבצע קוד שרירותי בהקשר של תהליך בעל זכויות יוצרים.
| CVE | הפניות | סוּג | חוּמרָה | עדכוני גרסאות AOSP |
|---|---|---|---|---|
| CVE-2021-0587 | A-185259758 | EoP | גָבוֹהַ | 8.1, 9, 10, 11 |
| CVE-2021-0601 | A-180643802 | תְעוּדַת זֶהוּת | גָבוֹהַ | 8.1, 9, 10, 11 |
מערכת
הפגיעות החמורה ביותר בסעיף זה עשויה לאפשר ליישום זדוני מקומי לעקוף דרישות אינטראקציה של משתמשים על מנת לקבל גישה להרשאות נוספות.
| CVE | הפניות | סוּג | חוּמרָה | עדכוני גרסאות AOSP |
|---|---|---|---|---|
| CVE-2020-0417 | א -154319182 | EoP | גָבוֹהַ | 8.1, 9, 10 |
| CVE-2021-0585 | א -184963385 | EoP | גָבוֹהַ | 8.1, 9, 10, 11 |
| CVE-2021-0586 | א -182584940 | EoP | גָבוֹהַ | 8.1, 9, 10, 11 |
| CVE-2021-0589 | A-180939982 | EoP | גָבוֹהַ | 8.1, 9, 10, 11 |
| CVE-2021-0594 | A-176445224 | EoP | גָבוֹהַ | 8.1, 9, 10, 11 |
| CVE-2021-0600 | א -179042963 | EoP | גָבוֹהַ | 8.1, 9, 10, 11 |
| CVE-2021-0602 | א -177573895 | EoP | גָבוֹהַ | 10, 11 |
| CVE-2021-0588 | א -177238342 | תְעוּדַת זֶהוּת | גָבוֹהַ | 8.1, 9 |
| CVE-2021-0590 | A-175213041 [ 2 ] | תְעוּדַת זֶהוּת | גָבוֹהַ | 8.1, 9, 10, 11 |
| CVE-2021-0596 | א -181346550 | תְעוּדַת זֶהוּת | גָבוֹהַ | 8.1, 9, 10, 11 |
| CVE-2021-0597 | א -176496502 | תְעוּדַת זֶהוּת | גָבוֹהַ | 8.1, 9, 10, 11 |
| CVE-2021-0599 | A-175614289 | תְעוּדַת זֶהוּת | גָבוֹהַ | 8.1, 9, 10, 11 |
| CVE-2021-0604 | א -179910660 | תְעוּדַת זֶהוּת | גָבוֹהַ | 8.1, 9, 10, 11 |
עדכוני מערכת Google Play
הנושאים הבאים כלולים ברכיבי Project Mainline.
| רְכִיב | CVE |
|---|---|
| MediaProvider | CVE-2021-0441 |
| רכיבי Media Codec | CVE-2021-0601 |
| ערימת רשת | CVE-2021-0590 |
פרטי פגיעות ברמת תיקון האבטחה 2021-07-05
בחלקים שלהלן, אנו מספקים פרטים על כל אחת מפגיעות האבטחה החלות על רמת התיקון 2021-07-05. הפגיעות מקובצות לפי המרכיב שהן משפיעות עליו. סוגיות מתוארות בטבלאות שלהלן כוללות CVE מזהה, אזכור קשור, סוג של פגיעות , חומרה , וכן גרסות AOSP מעודכנות (לפי עניין). כאשר הוא זמין, אנו מקשרים את השינוי הציבורי שהתייחס לבעיה לזהות הבאגים, כמו רשימת השינויים ב- AOSP. כאשר שינויים מרובים מתייחסים לבאג יחיד, הפניות נוספות מקושרות למספרים בעקבות מזהה הבאג.
מִסגֶרֶת
הפגיעות בחלק זה עשויה לאפשר לתוקף מקומי בעל גישה מיוחסת לקבל גישה לנתונים רגישים.
| CVE | הפניות | סוּג | חוּמרָה | עדכוני גרסאות AOSP |
|---|---|---|---|---|
| CVE-2020-0368 | A-143230980 [ 2 ] | תְעוּדַת זֶהוּת | גָבוֹהַ | 11 |
מערכת
הפגיעות החמורה ביותר בסעיף זה עשויה לאפשר לתוקף מרוחק המשתמש בקובץ בעל מבנה מיוחד לבצע קוד שרירותי בהקשר של תהליך בעל זכויות יוצרים.
| CVE | הפניות | סוּג | חוּמרָה | עדכוני גרסאות AOSP |
|---|---|---|---|---|
| CVE-2021-0514 | A-162604069 [ 2 ] [ 3 ] | RCE | גָבוֹהַ | 8.1, 9, 10, 11 |
| CVE-2021-0515 | A-167389063 [ 2 ] [ 3 ] | RCE | גָבוֹהַ | 8.1, 9, 10, 11 |
| CVE-2021-0603 | א -182809425 | EoP | גָבוֹהַ | 11 |
רכיבי MediaTek
פגיעות זו משפיעה על רכיבי MediaTek ופרטים נוספים זמינים ישירות מ- MediaTek. הערכת חומרת הנושא ניתנת ישירות על ידי MediaTek.
| CVE | הפניות | חוּמרָה | רְכִיב |
|---|---|---|---|
| CVE-2021-0577 | א -186161771 M-ALPS05544148 * | גָבוֹהַ | מחלץ flv |
Widemine DRM
פגיעות זו משפיעה על רכיבי Widevine DRM ופרטים נוספים זמינים ישירות מ- Widevine DRM. הערכת חומרת הנושא ניתנת ישירות על ידי Widevine DRM.
| CVE | הפניות | חוּמרָה | רְכִיב |
|---|---|---|---|
| CVE-2021-0592 | A-188061006 * | קריטי | Widevine |
רכיבי קוואלקום
נקודות תורפה אלה משפיעות על רכיבי קוואלקום ומתוארות בפירוט נוסף בעלון האבטחה המתאים או התראת האבטחה של קוואלקום. הערכת חומרת הנושאים הללו ניתנת ישירות על ידי קוואלקום.
| CVE | הפניות | חוּמרָה | רְכִיב |
|---|---|---|---|
| CVE-2021-1965 | א -184561775 QC-CR#2867353 | קריטי | WLAN |
| CVE-2021-1907 | א -184561563 QC-CR#2766363 | גָבוֹהַ | WLAN |
| CVE-2021-1931 | א -179057550 QC-CR#2820093 | גָבוֹהַ | מטעין אתחול |
| CVE-2021-1940 | א -184561360 QC-CR#2830334 | גָבוֹהַ | גַרעִין |
| CVE-2021-1943 | א -184561361 QC-CR#2836205 | גָבוֹהַ | WLAN |
| CVE-2021-1945 | א -184561583 QC-CR#2838849 | גָבוֹהַ | WLAN |
| CVE-2021-1954 | א -184561797 QC-CR#2842475 | גָבוֹהַ | WLAN |
| CVE-2021-1955 | א -184561582 QC-CR#2810235 QC-CR#2857049 QC-CR#2857052 | גָבוֹהַ | WLAN |
| CVE-2021-1964 | א -184561362 QC-CR#2856212 | גָבוֹהַ | WLAN |
| CVE-2021-1970 | א -184561587 QC-CR#2857084 | גָבוֹהַ | WLAN |
רכיבי קוד סגור של קוואלקום
נקודות תורפה אלה משפיעות על רכיבי קוד סגור של קוואלקום ומתוארות בפירוט נוסף בעלון האבטחה המתאים או התראת האבטחה של קוואלקום. מ הערכת חומרת הנושאים הללו ניתנת ישירות על ידי קוואלקום.
| CVE | הפניות | חוּמרָה | רְכִיב |
|---|---|---|---|
| CVE-2020-11307 | A-175038120 * | קריטי | רכיב מקור סגור |
| CVE-2021-1938 | A-184561642 * | גָבוֹהַ | רכיב מקור סגור |
| CVE-2021-1953 | A-184561249 * | גָבוֹהַ | רכיב מקור סגור |
שאלות ותשובות נפוצות
חלק זה עונה על שאלות נפוצות שעלולות להתרחש לאחר קריאת עלון זה.
1. כיצד אוכל לקבוע אם המכשיר שלי מעודכן כדי לטפל בבעיות אלה?
כדי ללמוד כיצד לבדוק רמת תיקון האבטחה של מכשיר, לראות לבדוק ולעדכן את גרסת Android שלך .
- רמות תיקון האבטחה של 2021-07-01 ואילך מתייחסות לכל הבעיות הקשורות ברמת תיקון האבטחה 2021-07-01.
- רמות תיקון האבטחה של 2021-07-05 ואילך מתייחסות לכל הבעיות הקשורות ברמת תיקון האבטחה 2021-07-05 ולכל רמות התיקון הקודמות.
יצרני מכשירים הכוללים עדכונים אלה צריכים להגדיר את רמת מחרוזת התיקון ל:
- [ro.build.version.security_patch]: [2021-07-01]
- [ro.build.version.security_patch]: [2021-07-05]
עבור מכשירים מסוימים ב- Android 10 ואילך, עדכון המערכת של Google Play יכלול מחרוזת תאריכים התואמת את רמת תיקון האבטחה 2021-07-01. אנא ראה את המאמר הזה לקבלת פרטים נוספים על אופן התקנת עדכוני אבטחה.
2. מדוע בעלון זה כולל שתי רמות תיקון אבטחה?
בעלון זה כולל שתי רמות תיקון אבטחה כך שלשותפי Android יש את הגמישות לתקן קבוצת משנה של נקודות תורפה הדומות בכל מכשירי Android מהר יותר. שותפי אנדרואיד מוזמנים לתקן את כל הבעיות בעלון זה ולהשתמש ברמת תיקון האבטחה העדכנית ביותר.
- התקנים המשתמשים ברמת תיקון האבטחה 2021-07-01 חייבים לכלול את כל הבעיות הקשורות לרמת תיקון האבטחה הזו, כמו גם תיקונים לכל הבעיות שדווחו בעלוני אבטחה קודמים.
- התקנים המשתמשים ברמת תיקון האבטחה 2021-07-05 ואילך חייבים לכלול את כל התיקונים הרלוונטיים בעלוני האבטחה (והקודמים).
שותפים מוזמנים לאגד את התיקונים לכל הבעיות אליהם הם מטפלים בעדכון אחד.
3. מה לעשות הערכים הממוצעים בעמודת סוג?
לערכים בעמודת הסוג של פגיעות מפרט התייחסות שולחן הסיווג של פגיעות האבטחה.
| נוֹטָרִיקוֹן | הַגדָרָה |
|---|---|
| RCE | ביצוע קוד מרחוק |
| EoP | העלאת פריבילגיה |
| תְעוּדַת זֶהוּת | גילוי מידע |
| DoS | מניעת שירות |
| N/A | הסיווג אינו זמין |
4. מה לעשות הערכים הממוצעים בעמודת הפניות?
רשום תחת עמודת ההפניות של שולחן פרטי פגיעות עלולים להכיל קידומת זיהוי הארגון שאלי לערך הייחוס שייך.
| קידומת | התייחסות |
|---|---|
| א- | מזהה באג לאנדרואיד |
| QC- | מספר הפניה של קוואלקום |
| M- | מספר ההפניה של MediaTek |
| N- | מספר הפניה של NVIDIA |
| B- | מספר התייחסות של ברודקום |
5. מה עושה * לצד הזיהוי באג אנדרואיד בתוחלת הפניות לעמודות?
לבעיות שאינן זמינות לציבור יש * ליד מזהה ההתייחסות המתאים. העדכון עבור בעיה כי הוא הכיל בדרך כלל הנהגים בינארי החדשים ביותר עבור התקנים פיקסל זמינים באתר המפתחים של גוגל .
6. מדוע חולשות האבטחה מתחלקות בין עלון זה לבין עלוני אבטחה של מכשיר / שותף, כגון עלון Pixel?
פגיעויות אבטחה המתועדות בעלון אבטחה זה נדרשות להצהיר על רמת תיקון האבטחה העדכנית ביותר במכשירי Android. פגיעות אבטחה נוספות המתועדות בעלוני האבטחה של המכשיר / השותף אינן נדרשות לצורך הכרזה על רמת תיקון אבטחה. מכשיר שבבים אנדרואיד יצרנים ייתכן שיפרסמו פרטים פגיעי אבטחה ספציפית למוצרים שלהם, כגון גוגל , Huawei , LGE , מוטורולה , נוקיה , או סמסונג .
גרסאות
| גִרְסָה | תַאֲרִיך | הערות |
|---|---|---|
| 1.0 | 7 ביולי 2021 | עלון פורסם |
| 1.1 | 9 ביולי 2021 | עלון מתוקן לכלול קישורי AOSP |
| 1.2 | 15 ביולי 2021 | טבלת CVE מתוקנת |
| 1.3 | 21 ביולי 2021 | טבלת CVE מתוקנת |