بولتن امنیتی اندروید - سپتامبر 2021

منتشر شده در 7 سپتامبر 2021 | به روز شده در 14 سپتامبر 2021

Android Security Bulletin شامل جزئیات آسیب پذیری های امنیتی است که بر دستگاه های Android تأثیر می گذارد. سطوح وصله امنیتی 2021-09-05 یا بالاتر همه این مسائل را برطرف می کند. برای آشنایی با نحوه بررسی سطح وصله امنیتی یک دستگاه، و بررسی و به روز رسانی نسخه آندروید خود را .

شرکای Android حداقل یک ماه قبل از انتشار از همه مسائل مطلع می شوند. وصله های کد منبع برای این مسائل در مخزن پروژه منبع باز Android (AOSP) منتشر شده و از این بولتن پیوند خورده است. این بولتن همچنین شامل پیوندهایی به وصله های خارج از AOSP است.

شدیدترین این مسائل یک آسیب پذیری امنیتی مهم در جزء Framework است که می تواند مهاجم از راه دور با استفاده از یک فایل مخصوص ایجاد شده باعث انکار دائمی سرویس شود. شدت اختلال بر اثر است که بهره برداری از آسیب پذیری احتمالا بر روی یک دستگاه را تحت تاثیر قرار، با فرض پلت فرم و خدمات mitigations خاموش برای اهداف توسعه تبدیل شده و یا اگر با موفقیت دور زد است.

به مراجعه گوگل محافظت mitigations بازی آندروید و بخش برای جزئیات بیشتر در حفاظت پلت فرم امنیتی آندروید گوگل محافظت، که بهبود امنیت پلت فرم آندروید بازی و.

کاهش خدمات Android و Google

این خلاصه ای از mitigations توسط ارائه شده است پلت فرم امنیتی آندروید و خدمات حفاظت مانند گوگل بازی محافظت از . این قابلیت ها احتمال سوء استفاده از آسیب پذیری های امنیتی را در Android کاهش می دهد.

  • بهره برداری از بسیاری از مسائل در Android با پیشرفت در نسخه های جدیدتر پلتفرم Android دشوارتر می شود. ما همه کاربران را تشویق می کنیم تا جایی که امکان دارد به آخرین نسخه Android به روز کنند.
  • تیم امنیتی آندروید به طور فعال نظارت برای سوء از طریق گوگل بازی محافظت از و هشدار می دهد کاربران در مورد نرم افزار به طور بالقوه مضر . گوگل بازی محافظت می کند به طور پیش فرض بر روی دستگاه با فعال گوگل خدمات تلفن همراه ، و به ویژه برای کاربرانی که نصب برنامه ها از خارج از Google Play مهم است.

2021-09-01 جزئیات آسیب پذیری سطح وصله امنیتی

در بخش های زیر ، ما جزئیات مربوط به هر یک از آسیب پذیری های امنیتی را که در سطح پچ 2021-09-01 اعمال می شود ، ارائه می دهیم. آسیب پذیری ها بر اساس م componentلفه ای که بر آنها تأثیر می گذارد ، گروه بندی می شوند. مسائل در جداول زیر توضیح داده و شامل CVE ID، مراجع مرتبط، نوع آسیب پذیری ، شدت ، و نسخه های به روز AOSP (در صورت وجود). در صورت موجود بودن ، تغییر عمومی را که به این مشکل پرداخته است ، مانند شناسه تغییر AOSP پیوند می دهیم. هنگامی که تغییرات متعدد به یک اشکال مربوط می شود ، مراجع اضافی به شماره های زیر شناسه اشکال مرتبط می شوند. دستگاه های با آندروید 10 و بعد از به روز رسانی امنیتی ممکن است و همچنین دریافت به روز رسانی سیستم های بازی گوگل .

چارچوب

شدیدترین آسیب پذیری در این بخش می تواند یک مهاجم از راه دور را با استفاده از یک فایل مخصوص ایجاد کند که می تواند باعث انکار دائمی سرویس شود.

CVE منابع تایپ کنید شدت نسخه های AOSP به روز شده است
CVE-2021-0687 A-188913943 DoS بحرانی 8.1 ، 9 ، 10 ، 11
CVE-2021-0595 A-177457096 [ 2] EoP بالا 8.1 ، 9 ، 10 ، 11
CVE-2021-0683 A-185398942 EoP بالا 8.1 ، 9 ، 10 ، 11
CVE-2021-0684 A-179839665 EoP بالا 8.1 ، 9 ، 10 ، 11
CVE-2021-0685 A-191055353 [ 2] EoP بالا 11
CVE-2021-0688 A-161149543 EoP بالا 8.1 ، 9 ، 10 ، 11
CVE-2021-0686 A-177927831 شناسه بالا 10 ، 11

چارچوب رسانه

شدیدترین آسیب پذیری در این بخش می تواند یک برنامه مخرب محلی را قادر سازد تا از محافظت سیستم عامل که داده های برنامه را از برنامه های دیگر جدا می کند ، دور بزند.

CVE منابع تایپ کنید شدت نسخه های AOSP به روز شده است
CVE-2021-0689 A-190188264 شناسه بالا 8.1 ، 9 ، 10 ، 11
CVE-2021-0690 A-182152757 شناسه بالا 8.1 ، 9 ، 10 ، 11

سیستم

شدیدترین آسیب پذیری در این بخش می تواند یک برنامه مخرب محلی را قادر سازد تا برای دسترسی به مجوزهای اضافی ، الزامات تعامل کاربر را دور بزند.

CVE منابع تایپ کنید شدت نسخه های AOSP به روز شده است
CVE-2021-0598 A-180422108 [ 2] EoP بالا 8.1 ، 9 ، 10 ، 11
CVE-2021-0692 A-179289753 EoP بالا 9 ، 10 ، 11
CVE-2021-0428 A-173421434 [ 2] [ 3] [ 4] [ 5] [ 6] [ 7] [ 8] [ 9] شناسه بالا 10
CVE-2021-0644 A-181053462 [ 2] شناسه بالا 10 ، 11
CVE-2021-0682 A-159624555 شناسه بالا 8.1 ، 9 ، 10 ، 11
CVE-2021-0693 A-184046948 شناسه بالا 11
CVE-2021-0691 A-188554048 EoP در حد متوسط 11

به روز رسانی سیستم Google Play

مسائل زیر در اجزای Project Mainline گنجانده شده است.

مولفه CVE
کدک های رسانه ای CVE-2021-0690

2021-09-05 جزئیات آسیب پذیری سطح وصله امنیتی

در بخش های زیر ، ما جزئیات مربوط به هر یک از آسیب پذیری های امنیتی را که در سطح پچ 2021-09-05 اعمال می شود ، ارائه می دهیم. آسیب پذیری ها بر اساس م componentلفه ای که بر آنها تأثیر می گذارد ، گروه بندی می شوند. مسائل در جداول زیر توضیح داده و شامل CVE ID، مراجع مرتبط، نوع آسیب پذیری ، شدت ، و نسخه های به روز AOSP (در صورت وجود). در صورت موجود بودن ، تغییر عمومی را که به این مشکل پرداخته است ، مانند شناسه تغییر AOSP پیوند می دهیم. هنگامی که تغییرات متعدد به یک اشکال مربوط می شود ، مراجع اضافی به شماره های زیر شناسه اشکال مرتبط می شوند.

اجزای هسته

این آسیب پذیری در این بخش می تواند یک برنامه مخرب محلی را قادر سازد تا از محافظت سیستم عامل که داده های برنامه را از برنامه های دیگر جدا می کند ، دور بزند.

CVE منابع تایپ کنید شدت مولفه
CVE-2021-0695 A-184018316
هسته بالادست
شناسه بالا هسته

اجزای MediaTek

این آسیب پذیری ها بر اجزای MediaTek تأثیر می گذارد و جزئیات بیشتر مستقیماً از MediaTek در دسترس است. ارزیابی شدت این مسائل مستقیماً توسط MediaTek ارائه شده است.

CVE منابع شدت مولفه
CVE-2021-0680 A-192535676
M-ALPS05564803 *
بالا خصوصیات سیستم
CVE-2021-0681 A-192535337
M-ALPS05559939 *
بالا خصوصیات سیستم

اجزای یکپارچه

این آسیب پذیری ها بر اجزای Unisoc تأثیر می گذارد و جزئیات بیشتر مستقیماً از Unisoc در دسترس است. ارزیابی شدت این مسائل مستقیماً توسط Unisoc ارائه می شود.

CVE منابع شدت مولفه
CVE-2021-0635
A-189402477
U-1595212 *
بالا ویدیو
CVE-2021-0636
A-189392423
U-1600513 *
بالا ویدیو

قطعات کوالکام

این آسیب پذیری ها بر اجزای Qualcomm تأثیر می گذارد و در جزئیات بیشتر در بولتن امنیتی Qualcomm یا هشدار امنیتی توضیح داده شده است. ارزیابی شدت این مسائل مستقیماً توسط Qualcomm ارائه می شود.

CVE منابع شدت مولفه
CVE-2021-1941
A-184561795
QC-CR#2832873
بالا WLAN
CVE-2021-1948
A-184561643
QC-CR#2842234
بالا WLAN
CVE-2021-1974
A-190403734
QC-CR # 2728644 [ 2 ]
بالا WLAN
CVE-2021-30290
A-190403706
QC-CR#2897378
بالا نمایش دادن
CVE-2021-30294 A-190404324
QC-CR#2900322
بالا نمایش دادن

اجزای منبع بسته Qualcomm

این آسیب پذیری ها بر اجزای منبع بسته Qualcomm تأثیر می گذارد و با جزئیات بیشتر در بولتن امنیتی Qualcomm یا هشدار امنیتی مناسب توضیح داده شده است. ارزیابی شدت این مسائل مستقیماً توسط Qualcomm ارائه می شود.

CVE منابع شدت مولفه
CVE-2021-1886
A-176751522 * بحرانی جزء منبع بسته
CVE-2021-1888 A-176752047 * بحرانی جزء منبع بسته
CVE-2021-1889
A-176751523 * بحرانی جزء منبع بسته
CVE-2021-1890 A-176752048 * بحرانی جزء منبع بسته
CVE-2021-1933
A-181682124 * بحرانی جزء منبع بسته
CVE-2021-1946
A-181682277 * بحرانی جزء منبع بسته
CVE-2021-1909
A-181682278 * بالا جزء منبع بسته
CVE-2021-1923
A-179039984 * بالا جزء منبع بسته
CVE-2021-1934
A-181682745 * بالا جزء منبع بسته
CVE-2021-1935 A-181682438 * بالا جزء منبع بسته
CVE-2021-1952
A-181682512 * بالا جزء منبع بسته
CVE-2021-1971
A-190404961 * بالا جزء منبع بسته
CVE-2021-30295
A-182501529 * بالا جزء منبع بسته

سوالات و پاسخ های متداول

این بخش به سوالات متداولی که ممکن است پس از خواندن این بولتن رخ دهد ، پاسخ می دهد.

1. چگونه می توانم تعیین کنم که آیا دستگاه من برای رفع این مشکلات به روز شده است؟

برای آشنایی با نحوه بررسی سطح وصله امنیتی یک دستگاه، و بررسی و به روز رسانی نسخه آندروید خود را .

  • سطوح وصله امنیتی 2021-09-01 یا بالاتر همه مشکلات مربوط به سطح وصله امنیتی 2021-09-01 را برطرف می کند.
  • سطوح وصله امنیتی 2021-09-05 یا بالاتر همه مشکلات مربوط به سطح وصله امنیتی 2021-09-05 و تمام سطوح وصله قبلی را برطرف می کند.

تولیدکنندگان دستگاهی که شامل این به روزرسانی ها می شوند ، باید سطح پچ رشته را بر روی موارد زیر تنظیم کنند:

  • [ro.build.version.security_patch]: [01/09/2021]
  • [ro.build.version.security_patch]: [2021-09-05]

برای برخی از دستگاه های Android 10 یا بالاتر ، به روزرسانی سیستم Google Play دارای یک رشته تاریخ است که با سطح وصله امنیتی 2021-09-01 مطابقت دارد. لطفا برای دیدن این مقاله برای اطلاعات بیشتر در مورد چگونگی نصب به روز رسانی امنیتی.

2. چرا این بولتن دارای دو سطح وصله امنیتی است؟

این بولتن دارای دو سطح وصله امنیتی است تا شرکای اندرویدی از انعطاف پذیری بالایی برخوردار باشند تا زیرمجموعه آسیب پذیری هایی را که در همه دستگاه های اندرویدی مشابه هستند سریعتر برطرف کنند. شرکای Android تشویق می شوند که همه مشکلات موجود در این خبرنامه را برطرف کرده و از آخرین سطح وصله امنیتی استفاده کنند.

  • دستگاه هایی که از سطح وصله امنیتی 2021-09-01 استفاده می کنند باید شامل تمام مشکلات مربوط به آن سطح وصله امنیتی و همچنین رفع همه موارد گزارش شده در بولتن های امنیتی قبلی باشند.
  • دستگاههایی که از سطح وصله امنیتی 2021-09-05 یا جدیدتر استفاده می کنند ، باید همه وصله های قابل اجرا را در این بولتن های امنیتی (و قبلی) شامل شوند.

شرکا تشویق می شوند که برای همه مشکلاتی که در یک بروزرسانی واحد به آن پرداخته اند ، اصلاحات را ارائه دهند.

3. چه در نوع متوسط ستون انجام مدخل؟

مطالب در نوع ستون از آسیب پذیری جزئیات مرجع جدول طبقه بندی آسیب پذیری امنیتی.

اختصار تعریف
RCE اجرای کد از راه دور
EoP ارتقاء امتیاز
شناسه افشای اطلاعات
DoS خود داری از خدمات
N/A طبقه بندی موجود نیست

4. چه در منابع میانگین ستون انجام مدخل؟

مطالب زیر ستون منابع از جدول جزئیات آسیب پذیری ممکن است یک پیشوند شناسایی سازمانی که مقدار مرجع متعلق باشد.

پیشوند ارجاع
آ- شناسه اشکال Android
QC- شماره مرجع Qualcomm
م- شماره مرجع MediaTek
N- شماره مرجع NVIDIA
ب- شماره مرجع Broadcom

5. چه می کند یک * در کنار ID اشکال نرم افزار در منابع میانگین ستون؟

مسائلی که به صورت عمومی در دسترس نیستند دارای * در کنار شناسه مرجع مربوطه هستند. به روز رسانی برای این مسئله به طور کلی در آخرین درایور باینری برای دستگاه های پیکسل های موجود از موجود سایت توسعه دهنده گوگل .

6. چرا آسیب پذیری های امنیتی بین این بولتن و بولتن های امنیتی دستگاه / شریک مانند بولتن پیکسل تقسیم شده است؟

آسیب پذیری های امنیتی که در این بولتن امنیتی ثبت شده اند ، لازم است آخرین سطح وصله امنیتی را در دستگاه های Android اعلام کنند. آسیب پذیری های امنیتی اضافی که در بولتن های امنیتی دستگاه / شریک ثبت شده اند ، برای اعلام سطح وصله امنیتی نیازی ندارند. دستگاه و چیپ ست تولید کنندگان آندروید نیز ممکن است جزئیات آسیب پذیری امنیتی خاص به محصولات خود، مانند انتشار گوگل ، هواوی ، LGE ، موتورولا ، نوکیا ، و یا سامسونگ .

نسخه ها

نسخه تاریخ یادداشت
1.0 7 سپتامبر 2021 بولتن منتشر شد
1.1 14 سپتامبر 2021 بولتن تصحیح شد تا شامل پیوندهای AOSP باشد