กระดานข่าวสารด้านความปลอดภัยของ Android มีรายละเอียดเกี่ยวกับช่องโหว่ด้านความปลอดภัย ส่งผลต่ออุปกรณ์ Android ระดับแพตช์ความปลอดภัย 05-01-2022 หรือใหม่กว่า ปัญหาทั้งหมดนี้ หากต้องการดูวิธีตรวจสอบแพตช์ความปลอดภัยของอุปกรณ์ โปรดดูหัวข้อตรวจสอบและ อัปเดตเวอร์ชัน Android ของคุณ
พาร์ทเนอร์ Android จะได้รับการแจ้งเตือนปัญหาทั้งหมดอย่างน้อย เดือนก่อนเผยแพร่ แพตช์ซอร์สโค้ดสำหรับปัญหาเหล่านี้ เผยแพร่ไปยังที่เก็บโครงการโอเพนซอร์ส Android (AOSP) แล้ว และได้ลิงก์มาจาก กระดานข่าวสารนี้ กระดานข่าวสารนี้ยังรวมถึงลิงก์ไปยัง แพตช์นอก AOSP
ปัญหาที่มีความรุนแรงที่สุดของเหล่านี้คือช่องโหว่ด้านความปลอดภัยที่สูงใน Android คอมโพเนนต์รันไทม์ที่ทำให้ผู้โจมตีในเครื่องสามารถข้ามการใช้หน่วยความจำได้ เพื่อรับสิทธิ์เข้าถึงสิทธิ์เพิ่มเติม การประเมินความรุนแรง ขึ้นอยู่กับผลกระทบที่อาจเกิดขึ้นจากการแสวงหาประโยชน์จากช่องโหว่ดังกล่าว อุปกรณ์ที่ได้รับผลกระทบ โดยสมมติว่ามีการผ่อนปรนแพลตฟอร์มและบริการปิดอยู่ เพื่อการพัฒนาหรือข้ามได้สำเร็จ
โปรดดู Android และส่วนการผ่อนปรนชั่วคราวของ Google Play Protect เพื่อดูรายละเอียดเกี่ยวกับ แอนดรอยด์ การปกป้องแพลตฟอร์มความปลอดภัย และ Google Play Protect ซึ่งช่วยปรับปรุง สำหรับแพลตฟอร์ม Android
การลดความเสี่ยงของบริการ Android และ Google
นี่คือสรุปการลดความเสี่ยงจาก Android แพลตฟอร์มความปลอดภัยและการป้องกันบริการ เช่น Google Play Protect ความสามารถเหล่านี้ช่วยลดโอกาสในการเกิดช่องโหว่ด้านความปลอดภัย ที่ถูกใช้ประโยชน์ใน Android ได้สำเร็จ
- การแสวงหาประโยชน์จากปัญหามากมายบน Android นั้นทำได้ยากขึ้นโดย การเพิ่มประสิทธิภาพบนแพลตฟอร์ม Android เวอร์ชันใหม่กว่า เราขอแนะนำให้ ให้ผู้ใช้ทั้งหมดอัปเดตเป็น Android เวอร์ชันล่าสุดหากเป็นไปได้
- ทีมรักษาความปลอดภัยของ Android ตรวจสอบการละเมิดอย่างสม่ำเสมอผ่าน Google Play Protect และเตือนผู้ใช้เกี่ยวกับ มีโอกาส แอปพลิเคชันที่เป็นอันตราย Google Play Protect จะเปิดใช้โดยค่าเริ่มต้นในอุปกรณ์ กับบริการของ Google Mobile และ สำคัญอย่างยิ่งสำหรับผู้ใช้ที่ติดตั้งแอปจากภายนอก Google Play
รายละเอียดช่องโหว่ระดับแพตช์ความปลอดภัย 2022-01-01
ในส่วนด้านล่าง เราจะให้รายละเอียดเกี่ยวกับความปลอดภัยแต่ละรายการ ช่องโหว่ที่เกี่ยวข้องกับระดับแพตช์ 2022-01-01 ช่องโหว่คือ ที่จัดกลุ่มไว้ภายใต้องค์ประกอบที่ได้รับผลกระทบ เราได้อธิบายปัญหาไว้ในตาราง ด้านล่างและระบุรหัส CVE, ข้อมูลอ้างอิงที่เกี่ยวข้อง ประเภท ของช่องโหว่ ความรุนแรง และเวอร์ชัน AOSP ที่อัปเดต (หากมี) เราจะลิงก์ การเปลี่ยนแปลงแบบสาธารณะที่แก้ปัญหาไปยังรหัสข้อบกพร่อง เช่น รายการเปลี่ยนแปลง AOSP เมื่อการเปลี่ยนแปลงหลายรายการเกี่ยวข้องกับข้อบกพร่องเดียว ระบบจะลิงก์การอ้างอิงเพิ่มเติม เป็นตัวเลขที่ตามหลังรหัสข้อบกพร่อง อุปกรณ์ที่ใช้ Android 10 ขึ้นไปอาจได้รับ การอัปเดตด้านความปลอดภัยและ การอัปเดตระบบ Play
เฟรมเวิร์ก
ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจก่อให้เกิดอันตรายในท้องถิ่น เพื่อข้ามข้อกำหนดด้านการโต้ตอบของผู้ใช้ สิทธิ์เพิ่มเติม
| CVE | ข้อมูลอ้างอิง | ประเภท | ความรุนแรง | เวอร์ชัน AOSP ที่อัปเดตแล้ว |
|---|---|---|---|---|
| CVE-2021-39630 | A-202768292 | EP | สูง | 12 |
| CVE-2021-39632 | A-202159709 | EP | สูง | 11, 12 |
| CVE-2020-0338 | A-123700107 | รหัส | สูง | 9 10 |
เฟรมเวิร์กสื่อ
ช่องโหว่ในส่วนนี้อาจนำไปสู่การส่งต่อเรื่อง โดยไม่จำเป็นต้องใช้สิทธิ์ดำเนินการเพิ่มเติมหรือการโต้ตอบของผู้ใช้
| CVE | ข้อมูลอ้างอิง | ประเภท | ความรุนแรง | เวอร์ชัน AOSP ที่อัปเดตแล้ว |
|---|---|---|---|---|
| CVE-2021-39623 | A-194105348 | EP | สูง | 9, 10, 11, 12 |
ระบบ
ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้ ผู้โจมตีที่มีสิทธิ์ติดตั้งแพ็กเกจที่มีอยู่โดยไม่ต้องขอความยินยอมจากผู้ใช้
| CVE | ข้อมูลอ้างอิง | ประเภท | ความรุนแรง | เวอร์ชัน AOSP ที่อัปเดตแล้ว |
|---|---|---|---|---|
| CVE-2021-39618 | A-196855999 * | EP | สูง | 9, 10, 11, 12 |
| CVE-2021-39620 | A-203847542 | EP | สูง | 11, 12 |
| CVE-2021-39621 | A-185126319 | EP | สูง | 9, 10, 11, 12 |
| CVE-2021-39622 | A-192663648 * | EP | สูง | 10, 11, 12 |
| CVE-2021-39625 | A-194695347 * | EP | สูง | 9, 10, 11, 12 |
| CVE-2021-39626 | A-194695497 | EP | สูง | 9, 10, 11, 12 |
| CVE-2021-39627 | A-185126549 | EP | สูง | 9, 10, 11, 12 |
| CVE-2021-39629 | A-197353344 | EP | สูง | 9, 10, 11, 12 |
| CVE-2021-0643 | A-183612370 | รหัส | สูง | 10, 11, 12 |
| CVE-2021-39628 | A-189575031 | รหัส | สูง | 10 11 |
| CVE-2021-39659 | A-208267659 | สิ่งที่ควรทำ | สูง | 10, 11, 12 |
การอัปเดตระบบ Google Play
ไม่มีปัญหาด้านความปลอดภัยที่ระบุในการอัปเดตระบบของ Google Play (Project Mainline) ในเดือนนี้
ช่องโหว่ระดับแพตช์ความปลอดภัย 2022-01-05 รายละเอียด
ในส่วนด้านล่าง เราจะให้รายละเอียดเกี่ยวกับความปลอดภัยแต่ละรายการ ช่องโหว่ที่เกี่ยวข้องกับระดับแพตช์ 2022-01-05 ช่องโหว่คือ ที่จัดกลุ่มไว้ภายใต้องค์ประกอบที่ได้รับผลกระทบ เราได้อธิบายปัญหาไว้ในตาราง ด้านล่างและระบุรหัส CVE, ข้อมูลอ้างอิงที่เกี่ยวข้อง ประเภท ของช่องโหว่ ความรุนแรง และเวอร์ชัน AOSP ที่อัปเดต (หากมี) เราจะลิงก์สาธารณะ การเปลี่ยนแปลงที่แก้ปัญหาไปยังรหัสข้อบกพร่อง เช่น รายการเปลี่ยนแปลง AOSP เมื่อการเปลี่ยนแปลงหลายรายการเกี่ยวข้องกับข้อบกพร่องเดียว ระบบจะลิงก์การอ้างอิงเพิ่มเติม เป็นตัวเลขที่ตามหลังรหัสข้อบกพร่อง
รันไทม์ของ Android
ช่องโหว่ในส่วนนี้อาจทำให้ผู้โจมตีในเครื่องสามารถหลีกเลี่ยง การจำกัดหน่วยความจำเพื่อให้ได้รับการเข้าถึงสิทธิ์เพิ่มเติม
| CVE | ข้อมูลอ้างอิง | ประเภท | ความรุนแรง | เวอร์ชัน AOSP ที่อัปเดตแล้ว |
|---|---|---|---|---|
| CVE-2021-0959 | A-200284993 | EP | สูง | 12 |
ส่วนประกอบของเคอร์เนล
ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้ การโจมตีเพื่อยกระดับสิทธิ์เนื่องจากเงื่อนไขในการแข่งขัน โดยไม่มี จำเป็นต้องมีสิทธิ์ดำเนินการหรือการโต้ตอบของผู้ใช้
| CVE | ข้อมูลอ้างอิง | ประเภท | ความรุนแรง | ส่วนประกอบ |
|---|---|---|---|---|
| CVE-2021-39634 | A-204450605 เคอร์เนลอัปสตรีม |
EP | สูง | เคอร์เนล |
| CVE-2021-39633 | A-150694665 เคอร์เนลอัปสตรีม |
รหัส | สูง | เคอร์เนล |
เคอร์เนล LTS
เวอร์ชันเคอร์เนลต่อไปนี้ได้รับการอัปเดตแล้ว
| ข้อมูลอ้างอิง | เวอร์ชันเปิดตัวของ Android | เวอร์ชันการเปิดตัวเคอร์เนล | เวอร์ชันขั้นต่ำที่เปิดตัว |
|---|---|---|---|
| A-182179492 | 11 | 5.4 | 5.4.86 |
คอมโพเนนต์ของ MediaTek
ช่องโหว่เหล่านี้ส่งผลกระทบต่อคอมโพเนนต์ MediaTek และรายละเอียดเพิ่มเติม ที่มีให้ได้โดยตรงจาก MediaTek การประเมินความรุนแรงของปัญหาเหล่านี้ ที่ให้บริการโดย MediaTek โดยตรง
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | ส่วนประกอบ |
|---|---|---|---|
| CVE-2021-31345 | A-207693368 M- MOLY00756840 * |
สูง | โมเด็ม (Nucleus NET TCP/IP) |
| CVE-2021-31346 | A-207646334 M-MOLY00756840 * |
สูง | โมเด็ม (Nucleus NET TCP/IP) |
| CVE-2021-31890 | A-207646336 M-MOLY00756840 * |
สูง | โมเด็ม (Nucleus NET TCP/IP) |
| CVE-2021-40148 | A-204728248 M-MOLY00716585 * |
สูง | EMM ของโมเด็ม |
| CVE-2021-31889 | A-207646335 M-MOLY00756840 * |
สูง | โมเด็ม (Nucleus NET TCP/IP) |
คอมโพเนนต์ Unisoc
ช่องโหว่นี้ส่งผลต่อคอมโพเนนต์ Unisoc คุณสามารถดูรายละเอียดเพิ่มเติมได้ จาก Unisoc โดยตรง เราประเมินความรุนแรงของปัญหานี้โดยตรง โดย Unisoc
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | ส่วนประกอบ |
|---|---|---|---|
| CVE-2021-1049 | A-204256722 U-1733219 * |
สูง | Slogmodem |
คอมโพเนนต์ Qualcomm
ช่องโหว่เหล่านี้ส่งผลกระทบต่อคอมโพเนนต์ Qualcomm และได้มีการอธิบายเพิ่มเติมเกี่ยวกับ ในกระดานข่าวสารด้านความปลอดภัยหรือการแจ้งเตือนด้านความปลอดภัยของ Qualcomm ที่เหมาะสม Qualcomm เป็นผู้ประเมินความรุนแรงของปัญหาเหล่านี้โดยตรง
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | ส่วนประกอบ |
|---|---|---|---|
| CVE-2021-30319 | A-202025735 QC-CR#2960714 |
สูง | WLAN |
| CVE-2021-30353 | A-202025599 QC-CR#2993069 [2] |
สูง | เสียง |
คอมโพเนนต์โอเพนซอร์สของ Qualcomm
ช่องโหว่เหล่านี้ส่งผลต่อคอมโพเนนต์แบบปิดของ Qualcomm และมีการอธิบายไว้ดังนี้ รายละเอียดเพิ่มเติมในกระดานข่าวสารด้านความปลอดภัยของ Qualcomm Qualcomm เป็นผู้ประเมินความรุนแรงของปัญหาเหล่านี้โดยตรง
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | ส่วนประกอบ |
|---|---|---|---|
| CVE-2021-30285 | A-193070555 * | วิกฤต | คอมโพเนนต์แบบปิด |
| CVE-2021-30287 | A-193070556 * | สูง | คอมโพเนนต์แบบปิด |
| CVE-2021-30300 | A-193071116 * | สูง | คอมโพเนนต์แบบปิด |
| CVE-2021-30301 | A-193070342 * | สูง | คอมโพเนนต์แบบปิด |
| CVE-2021-30307 | A-193070700 * | สูง | คอมโพเนนต์แบบปิด |
| CVE-2021-30308 | A-193070594 * | สูง | คอมโพเนนต์แบบปิด |
| CVE-2021-30311 | A-193070557 * | สูง | คอมโพเนนต์แบบปิด |
คำถามที่พบบ่อยและคำตอบ
ส่วนนี้จะตอบคำถามที่พบบ่อยซึ่งอาจเกิดขึ้นหลังจากอ่านข้อความนี้ กระดานข่าวสาร
1. ฉันจะทราบได้อย่างไรว่าอุปกรณ์ได้รับการอัปเดตเพื่อแก้ไขปัญหาเหล่านี้แล้ว
หากต้องการดูวิธีตรวจสอบระดับแพตช์ความปลอดภัยของอุปกรณ์ โปรดดูตรวจสอบและอัปเดตเวอร์ชัน Android
- ระดับแพตช์ความปลอดภัยวันที่ 01-01-2022 หรือหลังจากนั้นจะช่วยแก้ปัญหาทั้งหมด ที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัย 2022-01-01
- ระดับแพตช์ความปลอดภัยวันที่ 05-01-2022 หรือหลังจากนั้นจะช่วยแก้ปัญหาทั้งหมดที่เกี่ยวข้อง ที่มีระดับแพตช์ความปลอดภัย 2022-01-05 และระดับแพตช์ก่อนหน้าทั้งหมด
ผู้ผลิตอุปกรณ์ที่มีการอัปเดตเหล่านี้ควรตั้งค่าระดับสตริงแพตช์ดังนี้
- [ro.build.version.security_patch]:[01-01-2022]
- [ro.build.version.security_patch]:[05-01-2022]
สำหรับอุปกรณ์บางรุ่นบน Android 10 ขึ้นไป การอัปเดตระบบ Google Play จะ มีสตริงวันที่ที่ตรงกับระดับแพตช์ความปลอดภัย 2022-01-01 โปรดดู นี่ บทความ เพื่อดูรายละเอียดเพิ่มเติมเกี่ยวกับวิธีติดตั้งการอัปเดตความปลอดภัย
2. เหตุใดกระดานข่าวสารนี้มีแพตช์ความปลอดภัย 2 ระดับ
กระดานข่าวสารนี้มีแพตช์ความปลอดภัย 2 ระดับเพื่อให้พาร์ทเนอร์ Android มีความยืดหยุ่นในการแก้ไขช่องโหว่บางส่วนที่คล้ายคลึงกันในอุปกรณ์ Android ทั้งหมดได้เร็วขึ้น เราขอแนะนำให้พาร์ทเนอร์ Android แก้ไขปัญหาทั้งหมดในกระดานข่าวสารนี้และใช้ระดับแพตช์ความปลอดภัยล่าสุด
- อุปกรณ์ที่ใช้ระดับแพตช์ความปลอดภัย 2022-01-01 ต้องมีทั้งหมด ที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัยดังกล่าว รวมทั้งการแก้ไข ปัญหาทั้งหมดที่รายงานในกระดานข่าวสารด้านความปลอดภัยก่อนหน้านี้
- อุปกรณ์ที่ใช้ระดับแพตช์ความปลอดภัย 2022-01-05 ขึ้นไปจะต้อง ระบุแพตช์ที่เกี่ยวข้องทั้งหมดในกระดานข่าวสารด้านความปลอดภัยนี้ (และก่อนหน้านี้)
พาร์ทเนอร์ควรรวมการแก้ไขปัญหาทั้งหมดไว้ด้วยกัน ด้วยการอัปเดตเพียงครั้งเดียว
3. รายการในคอลัมน์ประเภทหมายความว่าอย่างไร
รายการในคอลัมน์ประเภทของตารางรายละเอียดช่องโหว่ ให้อ้างอิงการจัดประเภทช่องโหว่ด้านความปลอดภัย
| ตัวย่อ | คำจำกัดความ |
|---|---|
| ใหม่ | การดำเนินการกับโค้ดจากระยะไกล |
| EP | การยกระดับสิทธิ์ |
| รหัส | การเปิดเผยข้อมูล |
| สิ่งที่ควรทำ | ปฏิเสธการให้บริการ |
| ไม่มี | ไม่มีการแยกประเภท |
4. รายการในคอลัมน์ข้อมูลอ้างอิงคืออะไร
รายการในคอลัมน์ข้อมูลอ้างอิงของรายละเอียดช่องโหว่ ตารางอาจมีคำนำหน้าที่ระบุองค์กรในการอ้างอิง มีค่าเป็นของ Google
| คำนำหน้า | ข้อมูลอ้างอิง |
|---|---|
| A- | รหัสข้อบกพร่องของ Android |
| QC- | หมายเลขอ้างอิง Qualcomm |
| จ- | หมายเลขอ้างอิง MediaTek |
| น. | หมายเลขอ้างอิง NVIDIA |
| B- | หมายเลขอ้างอิง Broadcom |
| U- | หมายเลขอ้างอิง UNISOC |
5. เครื่องหมาย * ถัดจากรหัสข้อบกพร่องของ Android ใน ความหมายของคอลัมน์ข้อมูลอ้างอิง
ปัญหาที่ไม่ได้เผยแพร่ต่อสาธารณะจะมีเครื่องหมาย * อยู่ถัดจากเนื้อหาที่เกี่ยวข้อง รหัสอ้างอิง การอัปเดตสำหรับปัญหานั้นมักจะอยู่ใน ไดรเวอร์ไบนารีของอุปกรณ์ Pixel ที่พร้อมใช้งานจาก Google เว็บไซต์ของนักพัฒนาซอฟต์แวร์
6. เหตุใดช่องโหว่ด้านความปลอดภัยจึงแบ่งระหว่างกระดานข่าวสารนี้กับ กระดานข่าวสารด้านความปลอดภัยของอุปกรณ์ / พาร์ทเนอร์ เช่น Pixel แล้ว
ช่องโหว่ด้านความปลอดภัยที่ระบุในกระดานข่าวสารด้านความปลอดภัยนี้คือ ที่จำเป็นต่อการประกาศระดับแพตช์ความปลอดภัยล่าสุดในอุปกรณ์ Android ช่องโหว่ด้านความปลอดภัยเพิ่มเติมที่บันทึกไว้ในอุปกรณ์ / พาร์ทเนอร์ สำหรับการประกาศระดับแพตช์ความปลอดภัยไม่จำเป็นต้องมีกระดานข่าวสารด้านความปลอดภัย ผู้ผลิตอุปกรณ์และชิปเซ็ต Android อาจเผยแพร่ระบบรักษาความปลอดภัยด้วย รายละเอียดช่องโหว่ของผลิตภัณฑ์โดยเฉพาะ เช่น Google Huawei LGE Motorola Nokia หรือ Samsung
เวอร์ชัน
| เวอร์ชัน | วันที่ | หมายเหตุ |
|---|---|---|
| 1.0 | 4 มกราคม 2022 | เผยแพร่กระดานข่าวสารแล้ว |
| 1.1 | 5 มกราคม 2022 | แก้ไขกระดานข่าวสารให้มีลิงก์ AOSP แล้ว |
| 2.0 | 10 มกราคม 2022 | ตาราง CVE ที่แก้ไขแล้ว |