Le bulletin sur la sécurité d'Android contient des informations sur les failles de sécurité affectant les appareils Android. Niveau du correctif de sécurité à compter du 5 janvier 2022 résoudre toutes ces questions. Pour savoir comment vérifier le correctif de sécurité d'un appareil au niveau du compte, consultez la section mettre à jour votre version d'Android.
Les partenaires Android sont informés de tous les problèmes au moins un mois avant sa publication. Les correctifs du code source pour ces problèmes a été publié dans le dépôt du projet Android Open Source (AOSP) et accessibles via un lien dans ce bulletin. Ce bulletin contient également des liens vers correctifs en dehors d'AOSP
Le plus grave de ces problèmes est une faille de sécurité élevée composant d’exécution qui pourrait permettre à un attaquant local de contourner la mémoire des restrictions afin d’obtenir l’accès à des autorisations supplémentaires. La évaluation de la gravité se base sur les effets éventuels que l'exploitation de la vulnérabilité un appareil concerné, en supposant que les mesures d'atténuation des risques liés à la plate-forme et au service sont désactivées à des fins de développement ou en cas de contournement réussi.
Reportez-vous à la section Android et les mesures d'atténuation de Google Play Protect pour en savoir plus Sur Android de la plate-forme de sécurité et Google Play Protect, qui améliorent la sécurité de la plate-forme Android.
Mesures d'atténuation des risques liés aux services Android et Google
Il s'agit d'un récapitulatif des mesures d'atténuation proposées par le Sur Android de la plate-forme de sécurité et des services de protection Google Play Protect : Ces fonctionnalités réduisent la probabilité que des failles de sécurité exploitées avec succès sur Android.
- L'exploitation de nombreux problèmes sur Android est rendue plus difficile améliorations apportées dans les versions plus récentes de la plate-forme Android. Nous vous conseillons tous les utilisateurs de passer à la dernière version d'Android lorsque cela est possible.
- L'équipe de sécurité Android surveille activement les utilisations abusives grâce à Google Play Protect et avertit les utilisateurs Potentiellement Applications nuisibles. Google Play Protect est activé par défaut sur les appareils avec les services Google Mobile. ce qui est particulièrement important pour les utilisateurs qui installent des applications en dehors de Google Play.
Détails de la faille au niveau du correctif de sécurité du 01/01/2022
Vous trouverez dans les sections ci-dessous des informations détaillées sur chacun des les failles qui s'appliquent au niveau du correctif du 01/01/2022. Les vulnérabilités sont regroupés sous le composant concerné. Les problèmes sont décrits dans les tableaux ci-dessous et incluent l'ID de la CVE, les références associées, de la faille, severity, et versions mises à jour d'AOSP (le cas échéant). Le cas échéant, nous associons modification publique qui a résolu le problème à l’ID de bug, comme la liste de modifications AOSP. Lorsque plusieurs modifications portent sur un même bug, les références supplémentaires sont liées. aux chiffres qui suivent l'ID de bug. Les appareils équipés d'Android 10 ou version ultérieure peuvent recevoir mises à jour de sécurité et Google Play : mises à jour du système
Framework
La vulnérabilité la plus grave dans cette section pourrait permettre à un malware local l'application de contourner les exigences d'interaction de l'utilisateur afin d'accéder à des autorisations supplémentaires.
| CVE | Références | Type | Gravité | Versions d'AOSP mises à jour |
|---|---|---|---|---|
| CVE-2021-39630 | A-202768292 | EoP | Élevée | 12 |
| CVE-2021-39632 | A-202159709 | EoP | Élevée | 11, 12 |
| CVE-2020-0338 | A-123700107 | ID | Élevée | 9, 10 |
Media Framework
La vulnérabilité mentionnée dans cette section pourrait conduire à une escalade à distance de sans droits d'exécution supplémentaires ni interaction avec l'utilisateur.
| CVE | Références | Type | Gravité | Versions d'AOSP mises à jour |
|---|---|---|---|---|
| CVE-2021-39623 | A-194105348 | EoP | Élevée | 9, 10, 11, 12 |
Système
La faille la plus grave dans cette section pourrait attaquant privilégié pour installer des packages existants sans demander le consentement de l’utilisateur.
| CVE | Références | Type | Gravité | Versions d'AOSP mises à jour |
|---|---|---|---|---|
| CVE-2021-39618 | A-196855999 * | EoP | Élevée | 9, 10, 11, 12 |
| CVE-2021-39620 | A-203847542 | EoP | Élevée | 11, 12 |
| CVE-2021-39621 | A-185126319 | EoP | Élevée | 9, 10, 11, 12 |
| CVE-2021-39622 | A-192663648 * | EoP | Élevée | 10, 11, 12 |
| CVE-2021-39625 | A-194695347 * | EoP | Élevée | 9, 10, 11, 12 |
| CVE-2021-39626 | A-194695497 | EoP | Élevée | 9, 10, 11, 12 |
| CVE-2021-39627 | A-185126549 | EoP | Élevée | 9, 10, 11, 12 |
| CVE-2021-39629 | A-197353344 | EoP | Élevée | 9, 10, 11, 12 |
| CVE-2021-0643 | A-183612370 | ID | Élevée | 10, 11, 12 |
| CVE-2021-39628 | A-189575031 | ID | Élevée | 10, 11 |
| CVE-2021-39659 | A-208267659 | DoS | Élevée | 10, 11, 12 |
Mises à jour du système Google Play
Aucun problème de sécurité n'est résolu dans les mises à jour du système Google Play (projet Mainline) ce mois-ci.
Faille au niveau du correctif de sécurité du 05/01/2022 détails
Vous trouverez dans les sections ci-dessous des informations détaillées sur chacun des les failles qui s'appliquent au niveau du correctif du 05/01/2022. Les vulnérabilités sont regroupés sous le composant concerné. Les problèmes sont décrits dans les tableaux ci-dessous et inclure l'ID de la CVE, les références associées, de la faille, severity, et versions mises à jour d'AOSP (le cas échéant). Le cas échéant, nous associons modification qui a résolu le problème à l'ID de bug, comme la liste de modifications AOSP. Lorsque plusieurs modifications portent sur un même bug, les références supplémentaires sont liées. aux chiffres qui suivent l'ID de bug.
Environnement d'exécution Android
La vulnérabilité de cette section pourrait permettre à un attaquant local de contourner des restrictions de mémoire afin d’obtenir l’accès à des autorisations supplémentaires.
| CVE | Références | Type | Gravité | Versions d'AOSP mises à jour |
|---|---|---|---|---|
| CVE-2021-0959 | A-200284993 | EoP | Élevée | 12 |
Composants du noyau
La vulnérabilité la plus grave dans cette section pourrait entraîner une faille locale une élévation de privilège en raison d'une condition de concurrence, sans aucune les droits d'exécution ou une interaction de l'utilisateur est nécessaire.
| CVE | Références | Type | Gravité | Component |
|---|---|---|---|---|
| CVE-2021-39634 | A-204450605 Noyau en amont |
EoP | Élevée | Noyau |
| CVE-2021-39633 | A-150694665 Noyau en amont |
ID | Élevée | Noyau |
Noyau LTS
Les versions de noyau suivantes ont été mises à jour.
| Références | Version de lancement d'Android | Version de lancement du noyau | Version minimale de lancement |
|---|---|---|---|
| A-182179492 | 11 | 5.4 | 5.4.86 |
Composants MediaTek
Ces failles affectent les composants MediaTek. Pour en savoir plus, consultez disponibles directement auprès de MediaTek. L'évaluation de la gravité de ces problèmes fournies directement par MediaTek.
| CVE | Références | Gravité | Component |
|---|---|---|---|
| CVE-2021-31345 | A-207693368 M- MOLY00756840 * |
Élevée | Modem (Nucleus NET TCP/IP) |
| CVE-2021-31346 | A-207646334 M-MOLY00756840 * |
Élevée | Modem (Nucleus NET TCP/IP) |
| CVE-2021-31890 | A-207646336 M-MOLY00756840 * |
Élevée | Modem (Nucleus NET TCP/IP) |
| CVE-2021-40148 | A-204728248 M-MOLY00716585 * |
Élevée | Modem EMM |
| CVE-2021-31889 | A-207646335 M-MOLY00756840 * |
Élevée | Modem (Nucleus NET TCP/IP) |
Composants unisoc
Cette faille affecte les composants Unisoc. Pour plus d'informations, directement depuis Unisoc. L'évaluation de la gravité de ce problème est fournie directement par Unisoc.
| CVE | Références | Gravité | Component |
|---|---|---|---|
| CVE-2021-1049 | A-204256722 U-1733219 * |
Élevée | slogmodem |
Composants Qualcomm
Ces failles affectent les composants Qualcomm et sont décrites plus en détail dans le bulletin de sécurité Qualcomm ou l'alerte de sécurité appropriés. L'évaluation de la gravité de ces problèmes est assurée directement par Qualcomm.
| CVE | Références | Gravité | Component |
|---|---|---|---|
| CVE-2021-30319 | A-202025735 QC-CR#2960714 |
Élevée | WLAN |
| CVE-2021-30353 | A-202025599 QC-CR#2993069 [2]. |
Élevée | Audio |
Composants à source fermée Qualcomm
Ces failles affectent les composants à source fermée Qualcomm et sont décrites consultez le bulletin de sécurité Qualcomm ou le document de sécurité alerte. L'évaluation de la gravité de ces problèmes est assurée directement par Qualcomm.
| CVE | Références | Gravité | Component |
|---|---|---|---|
| CVE-2021-30285 | A-193070555 * | Critical (Critique) | Composant à source fermée |
| CVE-2021-30287 | A-193070556 * | Élevée | Composant à source fermée |
| CVE-2021-30300 | A-193071116 * | Élevée | Composant à source fermée |
| CVE-2021-30301 | A-193070342 * | Élevée | Composant à source fermée |
| CVE-2021-30307 | A-193070700 * | Élevée | Composant à source fermée |
| CVE-2021-30308 | A-193070594 * | Élevée | Composant à source fermée |
| CVE-2021-30311 | A-193070557 * | Élevée | Composant à source fermée |
Questions et réponses fréquentes
Cette section répond aux questions fréquentes que l'on peut se poser après la lecture de ce .
1. Comment déterminer si mon appareil a été mis à jour pour résoudre ces problèmes ?
Pour savoir comment vérifier le niveau du correctif de sécurité d'un appareil, consultez Vérifier la version d'Android installée et la mettre à jour.
- Les niveaux du correctif de sécurité à partir du 01/01/2022 permettent de résoudre tous les problèmes associé au niveau du correctif de sécurité du 01/01/2022.
- Les niveaux du correctif de sécurité à compter du 5 janvier 2022 (à partir du 5 janvier 2022) permettent de résoudre tous les problèmes associés avec le niveau du correctif de sécurité du 05/01/2022 et tous les niveaux de correctif précédents.
Les fabricants d'appareils qui proposent ces mises à jour doivent définir le niveau de la chaîne de correctif sur:
- [ro.build.version.security_patch]:[01/01/2022]
- [ro.build.version.security_patch]:[05/01/2022]
Pour certains appareils équipés d'Android 10 ou version ultérieure, la mise à jour du système Google Play ont une chaîne de date correspondant au niveau du correctif de sécurité 2022-01-01. Consultez la page ce pour en savoir plus sur l'installation des mises à jour de sécurité.
2. Pourquoi ce bulletin comporte-t-il deux niveaux de correctif de sécurité ?
Ce bulletin comporte deux niveaux de correctif de sécurité, ce qui permet aux partenaires Android de corriger plus rapidement un sous-ensemble de failles similaires sur tous les appareils Android. Nous encourageons les partenaires Android à corriger tous les problèmes mentionnés dans ce bulletin et à utiliser le dernier correctif de sécurité.
- Les appareils utilisant le niveau du correctif de sécurité du 01/01/2022 doivent inclure tous les les problèmes associés à ce niveau de correctif de sécurité, ainsi que tous les problèmes signalés dans les bulletins de sécurité précédents.
- Les appareils qui utilisent le correctif de sécurité 2022-01-05 ou une version ultérieure doivent inclure tous les correctifs applicables dans ce bulletin de sécurité (et les précédents).
Les partenaires sont encouragés à regrouper les correctifs pour tous les problèmes qu'ils rencontrent. en une seule mise à jour.
3. Que signifient les entrées de la colonne Type ?
Entrées de la colonne Type de la table "Informations sur les failles" la classification de la faille de sécurité.
| Abréviation | Définition |
|---|---|
| RCE | Exécution de code à distance |
| EoP | Élévation de privilèges |
| ID | Divulgation d'informations |
| DoS | Déni de service |
| N/A | Classification non disponible |
4. Que signifient les entrées de la colonne Références ?
Entrées de la colonne Références dans les détails des failles peut contenir un préfixe identifiant l'organisation à laquelle la référence valeur.
| Préfixe | Référence |
|---|---|
| A- | ID de bug Android |
| QC – | Numéro de référence Qualcomm |
| L- | Numéro de référence MediaTek |
| N- | Numéro de référence NVIDIA |
| B- | Numéro de référence Broadcom |
| U- | Numéro de référence UNISOC |
5. Que signifie le caractère * à côté de l'ID de bug Android dans le Moyenne de la colonne Références ?
Les numéros non disponibles publiquement sont signalés par un astérisque (*) à côté du nom ID de référence. La mise à jour de ce problème est généralement contenue dans le dernier pilotes binaires pour les appareils Pixel disponibles sur Google site pour les développeurs.
6. Pourquoi les failles de sécurité sont-elles réparties entre ce bulletin et les bulletins de sécurité de nos partenaires / appareils tels que ?
Les failles de sécurité documentées dans ce bulletin de sécurité sont Vous devez déclarer le dernier niveau du correctif de sécurité sur les appareils Android. Failles de sécurité supplémentaires documentées sur l'appareil / le partenaire les bulletins de sécurité ne sont pas nécessaires pour déclarer un niveau de correctif de sécurité. Les fabricants d'appareils et de chipsets Android peuvent également publier des les détails des failles propres à leurs produits, comme Google Huawei, LGE Motorola Nokia, ou Samsung.
Versions
| Version | Date | Notes |
|---|---|---|
| 1.0 | 4 janvier 2022 | Publication du bulletin |
| 1.1 | 5 janvier 2022 | Révision du bulletin pour inclure des liens AOSP |
| 2.0 | 10 janvier 2022 | Table CVE révisée |