ประกาศข่าวสารด้านความปลอดภัยของ Android - กรกฎาคม 2024

เผยแพร่เมื่อวันที่ 1 กรกฎาคม 2024

กระดานข่าวสารด้านความปลอดภัยของ Android มีรายละเอียดช่องโหว่ด้านความปลอดภัยที่ส่งผลกระทบต่ออุปกรณ์ Android ระดับแพตช์ด้านความปลอดภัย ของวันที่ 05-07-2024 หรือหลังจากนั้นจะแก้ไขปัญหาเหล่านี้ทั้งหมด ดูวิธีตรวจสอบระดับแพตช์ด้านความปลอดภัยของอุปกรณ์ได้ที่ตรวจสอบและอัปเดตเวอร์ชัน Android

พาร์ทเนอร์ Android จะได้รับการแจ้งเตือนเกี่ยวกับปัญหาทั้งหมดอย่างน้อย 1 เดือน ก่อนการเผยแพร่ เราได้เผยแพร่แพตช์ซอร์สโค้ดสำหรับปัญหาเหล่านี้ในที่เก็บของโครงการโอเพนซอร์ส Android (AOSP) และลิงก์จากกระดานข่าวนี้ ประกาศนี้ยังมีลิงก์ไปยังแพตช์ภายนอก AOSP ด้วย

ปัญหาที่ร้ายแรงที่สุดคือช่องโหว่ด้านความปลอดภัยที่ร้ายแรงในคอมโพเนนต์ Framework ซึ่งอาจนำไปสู่การเพิ่มสิทธิ์ในเครื่องโดยไม่ต้องมีสิทธิ์การดำเนินการเพิ่มเติม การประเมินความรุนแรงจะอิงตามผลกระทบที่การใช้ประโยชน์จากช่องโหว่อาจมีต่ออุปกรณ์ที่ได้รับผลกระทบ โดยสมมติว่ามีการปิดการลดความเสี่ยงของแพลตฟอร์มและบริการเพื่อวัตถุประสงค์ในการพัฒนา หรือหากมีการข้ามการลดความเสี่ยงดังกล่าวได้สำเร็จ

ดูรายละเอียดเกี่ยวกับการป้องกันแพลตฟอร์ม ความปลอดภัยของ Android และ Google Play Protect ซึ่งช่วยปรับปรุง ความปลอดภัยของแพลตฟอร์ม Android ได้ที่ส่วนการลดความเสี่ยงของ Android และ Google Play Protect

การลดความเสี่ยงของ Android และบริการของ Google

นี่คือสรุปการลดความเสี่ยงที่แพลตฟอร์ม ความปลอดภัยของ Android และการป้องกันบริการ เช่น Google Play Protect มอบให้ ความสามารถเหล่านี้ช่วยลดโอกาสที่ช่องโหว่ด้านความปลอดภัย จะถูกเจาะใน Android ได้สำเร็จ

• การปรับปรุงในแพลตฟอร์ม Android เวอร์ชันใหม่ๆ ทำให้การใช้ช่องโหว่สำหรับปัญหาหลายอย่างใน Android ทำได้ยากขึ้น เราขอแนะนำให้ผู้ใช้ทุกรายอัปเดตเป็น Android เวอร์ชันล่าสุดหากเป็นไปได้
• ทีมความปลอดภัยของ Android คอยตรวจสอบการละเมิดอย่างสม่ำเสมอ ผ่าน Google Play Protect และเตือนผู้ใช้เกี่ยวกับแอปพลิเคชันที่อาจเป็นอันตราย Google Play Protect จะเปิดใช้โดยค่าเริ่มต้นในอุปกรณ์ที่มีบริการของ Google Mobile และมีความสำคัญอย่างยิ่งสำหรับผู้ใช้ที่ติดตั้งแอปจากภายนอก Google Play

รายละเอียดช่องโหว่ระดับแพตช์ด้านความปลอดภัย 2024-07-01

ในส่วนด้านล่าง เราจะให้รายละเอียดเกี่ยวกับ ช่องโหว่ด้านความปลอดภัยแต่ละรายการที่ใช้กับแพตช์ระดับ 2024-07-01 ระบบจะแบ่งประเภทช่องโหว่ตามคอมโพเนนต์ที่ได้รับผลกระทบ ปัญหาจะอธิบายไว้ในตารางด้านล่างและมีรหัส CVE ข้อมูลอ้างอิงที่เกี่ยวข้อง ประเภทของ ช่องโหว่ ความรุนแรง และเวอร์ชัน AOSP ที่อัปเดตแล้ว (หากมี) เมื่อมีการเปลี่ยนแปลงแบบสาธารณะที่แก้ไขปัญหาแล้ว เราจะลิงก์การเปลี่ยนแปลงนั้นกับรหัสข้อบกพร่อง เช่น รายการการเปลี่ยนแปลงของ AOSP เมื่อการเปลี่ยนแปลงหลายรายการเกี่ยวข้องกับข้อบกพร่องเดียว ระบบจะลิงก์ข้อมูลอ้างอิงเพิ่มเติม กับหมายเลขที่ต่อท้ายรหัสข้อบกพร่อง อุปกรณ์ ที่ใช้ Android 10 ขึ้นไปอาจได้รับการอัปเดตความปลอดภัยและการอัปเดตระบบ Google Play

Framework

ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจนำไปสู่การยกระดับสิทธิ์ในเครื่องโดยไม่ต้องมีสิทธิ์การดำเนินการเพิ่มเติม

CVE	ข้อมูลอ้างอิง	ประเภท	ความรุนแรง	เวอร์ชัน AOSP ที่อัปเดตแล้ว
CVE-2024-31320	A-329230490 [2]	EoP	วิกฤต	12, 12L
CVE-2024-31331	A-297517712	EoP	สูง	12, 12L, 13, 14
CVE-2024-34720	A-319081336	EoP	สูง	12, 12L, 13, 14
CVE-2024-34723	A-317048338	EoP	สูง	12, 12L, 13, 14

ระบบ

ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจทำให้เกิดการเพิ่มสิทธิ์ในเครื่องโดยไม่ต้องมีสิทธิ์การดำเนินการเพิ่มเติม

CVE	ข้อมูลอ้างอิง	ประเภท	ความรุนแรง	เวอร์ชัน AOSP ที่อัปเดตแล้ว
CVE-2024-31332	A-299931076	EoP	สูง	13, 14
CVE-2024-31339	A-292160348	EoP	สูง	12, 12L, 13, 14
CVE-2024-34721	A-294406604	รหัส	สูง	12, 12L, 13, 14

การอัปเดตระบบ Google Play

ปัญหาต่อไปนี้รวมอยู่ในคอมโพเนนต์ของ Project Mainline

องค์ประกอบย่อย	CVE
MediaProvider	CVE-2024-34721
Statsd	CVE-2024-31339

รายละเอียดช่องโหว่ระดับแพตช์ด้านความปลอดภัยวันที่ 5 กรกฎาคม 2024

ในส่วนด้านล่าง เราจะให้รายละเอียดเกี่ยวกับ ช่องโหว่ด้านความปลอดภัยแต่ละรายการที่เกี่ยวข้องกับแพตช์ระดับ 2024-07-05 ระบบจะแบ่งประเภทช่องโหว่ตามคอมโพเนนต์ที่ได้รับผลกระทบ ปัญหาจะอธิบายไว้ในตารางด้านล่างและมีรหัส CVE ข้อมูลอ้างอิงที่เกี่ยวข้อง ประเภทของ ช่องโหว่ ความรุนแรง และเวอร์ชัน AOSP ที่อัปเดตแล้ว (หากมี) เมื่อมีการเปลี่ยนแปลงแบบสาธารณะที่แก้ไขปัญหาแล้ว เราจะลิงก์การเปลี่ยนแปลงนั้นกับรหัสข้อบกพร่อง เช่น รายการการเปลี่ยนแปลงของ AOSP เมื่อการเปลี่ยนแปลงหลายรายการเกี่ยวข้องกับข้อบกพร่องเดียว ระบบจะลิงก์ข้อมูลอ้างอิงเพิ่มเติม กับหมายเลขที่ต่อท้ายรหัสข้อบกพร่อง

เคอร์เนล

ช่องโหว่ในส่วนนี้ อาจนำไปสู่การเพิ่มสิทธิ์ในเครื่องโดยไม่ต้องมี สิทธิ์การดำเนินการเพิ่มเติม

CVE	ข้อมูลอ้างอิง	ประเภท	ความรุนแรง	องค์ประกอบย่อย
CVE-2024-26923	A-336268889 เคอร์เนลต้นทาง [2] [3] [4]	EoP	สูง	เคอร์เนล

คอมโพเนนต์ของ Arm

ช่องโหว่เหล่านี้ส่งผลต่อคอมโพเนนต์ของ Arm และดูรายละเอียดเพิ่มเติมได้จาก Arm โดยตรง การประเมินความรุนแรง ของปัญหาเหล่านี้มาจาก Arm โดยตรง

CVE	ข้อมูลอ้างอิง	ความรุนแรง	องค์ประกอบย่อย
CVE-2024-0153	A-302570828 *	สูง	มาลี
CVE-2024-4610	A-260126994 *	สูง	มาลี

Imagination Technologies

ช่องโหว่เหล่านี้ส่งผลต่อคอมโพเนนต์ของ Imagination Technologies และดูรายละเอียดเพิ่มเติมได้โดยตรงจาก Imagination Technologies การประเมินความรุนแรงของปัญหาเหล่านี้ มาจาก Imagination Technologies โดยตรง

CVE	ข้อมูลอ้างอิง	ความรุนแรง	องค์ประกอบย่อย
CVE-2024-31334	A-337947582 *	สูง	PowerVR-GPU
CVE-2024-31335	A-337951645 *	สูง	PowerVR-GPU
CVE-2024-34724	A-331437482 *	สูง	PowerVR-GPU
CVE-2024-34725	A-331438755 *	สูง	PowerVR-GPU
CVE-2024-34726	A-331439207 *	สูง	PowerVR-GPU

คอมโพเนนต์ของ MediaTek

ช่องโหว่เหล่านี้ส่งผลต่อคอมโพเนนต์ของ MediaTek และดูรายละเอียดเพิ่มเติมได้จาก MediaTek โดยตรง การประเมินความรุนแรง ของปัญหาเหล่านี้มาจาก MediaTek โดยตรง

CVE	ข้อมูลอ้างอิง	ความรุนแรง	องค์ประกอบย่อย
CVE-2024-20076	A-338887100 MOLY01297806 *	สูง	โมเด็ม
CVE-2024-20077	A-338887097 MOLY01297807 *	สูง	โมเด็ม

คอมโพเนนต์ของ Qualcomm

ช่องโหว่เหล่านี้ส่งผลกระทบต่อคอมโพเนนต์ของ Qualcomm และมีการอธิบายรายละเอียดเพิ่มเติมในกระดานข่าวสารด้านความปลอดภัยหรือการแจ้งเตือนความปลอดภัยที่เหมาะสมของ Qualcomm การประเมินความรุนแรงของปัญหาเหล่านี้ มาจาก Qualcomm โดยตรง

CVE	ข้อมูลอ้างอิง	ความรุนแรง	องค์ประกอบย่อย
CVE-2024-23368	A-332315224 QC-CR#3522299	สูง	เคอร์เนล
CVE-2024-23372	A-332315102 QC-CR#3692589 [2]	สูง	Display
CVE-2024-23373	A-332315050 QC-CR#3692564 [2]	สูง	Display
CVE-2024-23380	A-332315362 QC-CR#3690718 [2]	สูง	Display

คอมโพเนนต์ที่ไม่เปิดเผยรหัสต้นฉบับของ Qualcomm

ช่องโหว่เหล่านี้ส่งผลกระทบต่อคอมโพเนนต์แบบปิดของ Qualcomm และมีการอธิบายรายละเอียดเพิ่มเติมในกระดานข่าวสารด้านความปลอดภัยหรือการแจ้งเตือนความปลอดภัยที่เหมาะสมของ Qualcomm การประเมินความรุนแรงของปัญหาเหล่านี้มาจาก Qualcomm โดยตรง

CVE	ข้อมูลอ้างอิง	ความรุนแรง	องค์ประกอบย่อย
CVE-2024-21461	A-318393487 *	วิกฤต	คอมโพเนนต์แบบปิด
CVE-2024-21460	A-318393435 *	สูง	คอมโพเนนต์แบบปิด
CVE-2024-21462	A-318394116 *	สูง	คอมโพเนนต์แบบปิด
CVE-2024-21465	A-318393702 *	สูง	คอมโพเนนต์แบบปิด
CVE-2024-21469	A-318393825 *	สูง	คอมโพเนนต์แบบปิด

คำถามที่พบบ่อยและ คำตอบ

ส่วนนี้จะตอบคำถามที่พบบ่อยซึ่งผู้ใช้อาจสงสัยหลังจากที่อ่านกระดานข่าวสารนี้

1. ฉันจะทราบได้อย่างไรว่าอุปกรณ์ได้รับการอัปเดตเพื่อ แก้ไขปัญหาเหล่านี้แล้ว

ดูวิธีตรวจสอบระดับแพตช์ความปลอดภัยของอุปกรณ์ได้ที่ตรวจสอบและอัปเดตเวอร์ชัน Android

• ระดับแพตช์ด้านความปลอดภัยของวันที่ 01-07-2024 หรือหลังจากนั้นจะแก้ไขปัญหาทั้งหมด ที่เกี่ยวข้องกับระดับแพตช์ด้านความปลอดภัยของวันที่ 01-07-2024
• ระดับแพตช์ด้านความปลอดภัยของวันที่ 05-07-2024 หรือหลังจากนั้นจะแก้ไขปัญหาทั้งหมด ที่เกี่ยวข้องกับระดับแพตช์ด้านความปลอดภัยของวันที่ 05-07-2024 และ ระดับแพตช์ก่อนหน้าทั้งหมด

ผู้ผลิตอุปกรณ์ที่รวมการอัปเดตเหล่านี้ควรตั้งค่า ระดับสตริงแพตช์เป็น

• [ro.build.version.security_patch]:[2024-07-01]
• [ro.build.version.security_patch]:[2024-07-05]

สำหรับอุปกรณ์บางรุ่นที่ใช้ Android 10 ขึ้นไป การอัปเดตระบบ Google Play จะมีสตริงวันที่ที่ตรงกับระดับแพตช์ด้านความปลอดภัย 2024-07-01 โปรดดูรายละเอียดเพิ่มเติมเกี่ยวกับวิธีติดตั้งการอัปเดตความปลอดภัยในบทความนี้

2. ทำไมกระดานข่าวนี้จึงมีแพตช์ความปลอดภัย 2 ระดับ

กระดานข่าวนี้มีแพตช์ด้านความปลอดภัย 2 ระดับเพื่อให้พาร์ทเนอร์ของ Android สามารถแก้ไขช่องโหว่บางส่วน ที่คล้ายกันในอุปกรณ์ Android ทั้งหมดได้อย่างรวดเร็ว เราขอแนะนำให้พาร์ทเนอร์ Android แก้ไขปัญหาทั้งหมดในประกาศนี้และ ใช้ระดับแพตช์ด้านความปลอดภัยล่าสุด

• อุปกรณ์ที่ใช้ระดับแพตช์ด้านความปลอดภัย 2024-07-01 ต้อง รวมปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ด้านความปลอดภัยนั้น รวมถึงการแก้ไขปัญหาทั้งหมดที่รายงานในกระดานข่าวความปลอดภัยก่อนหน้า
• อุปกรณ์ที่ใช้ระดับแพตช์ด้านความปลอดภัย 2024-07-05 หรือใหม่กว่า ต้องมีแพตช์ที่เกี่ยวข้องทั้งหมดในกระดานข่าวความปลอดภัยนี้ (และกระดานข่าวความปลอดภัยก่อนหน้า)

เราขอแนะนำให้พาร์ทเนอร์รวมการแก้ไขปัญหาทั้งหมด ที่พาร์ทเนอร์กำลังดำเนินการไว้ในการอัปเดตครั้งเดียว

3. รายการในคอลัมน์ประเภทหมายถึงอะไร

รายการในคอลัมน์ประเภทของตารางรายละเอียดช่องโหว่จะอ้างอิงการแยกประเภทช่องโหว่ด้านความปลอดภัย

ตัวย่อ	คำจำกัดความ
RCE	การดำเนินการกับโค้ดจากระยะไกล
EoP	การยกระดับสิทธิ์
ID	การเปิดเผยข้อมูล
DoS	การปฏิเสธการให้บริการ
ไม่มี	ไม่มีการแยกประเภท

4. รายการในคอลัมน์ข้อมูลอ้างอิง หมายถึงอะไร

รายการในคอลัมน์การอ้างอิงของตารางรายละเอียดช่องโหว่อาจมีคำนำหน้าที่ระบุองค์กรที่ค่าอ้างอิงเป็นของ

คำนำหน้า	ข้อมูลอ้างอิง
A-	รหัสข้อบกพร่องของ Android
QC-	หมายเลขอ้างอิงของ Qualcomm
M-	หมายเลขอ้างอิงของ MediaTek
N-	หมายเลขอ้างอิงของ NVIDIA
B-	หมายเลขอ้างอิงของ Broadcom
U-	หมายเลขอ้างอิงของ UNISOC

5. เครื่องหมาย * ข้างรหัสข้อบกพร่องของ Android ในคอลัมน์การอ้างอิงหมายความว่าอย่างไร

ปัญหาที่ไม่ได้เผยแพร่ต่อสาธารณะจะมีเครื่องหมาย * อยู่ข้างรหัสอ้างอิงที่เกี่ยวข้อง โดยปกติแล้ว การอัปเดตสำหรับปัญหานั้นจะรวมอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Pixel ซึ่งมีให้บริการในเว็บไซต์ Google Developers

6. เหตุใดช่องโหว่ด้านความปลอดภัยจึงแยกออกเป็นประกาศนี้ และประกาศด้านความปลอดภัยของอุปกรณ์ / พาร์ทเนอร์ เช่น ประกาศของ Pixel

ช่องโหว่ด้านความปลอดภัยที่บันทึกไว้ในประกาศข่าวสารด้านความปลอดภัยนี้ กำหนดให้ต้องประกาศระดับแพตช์ด้านความปลอดภัยล่าสุด ในอุปกรณ์ Android ช่องโหว่ด้านความปลอดภัยเพิ่มเติมที่ บันทึกไว้ในประกาศข่าวสารด้านความปลอดภัยของอุปกรณ์ / พาร์ทเนอร์ไม่จำเป็น ต้องประกาศระดับแพตช์ด้านความปลอดภัย ผู้ผลิตอุปกรณ์ Android และชิปเซ็ตอาจเผยแพร่รายละเอียดช่องโหว่ด้านความปลอดภัยที่เฉพาะเจาะจงสำหรับผลิตภัณฑ์ของตนด้วย เช่น Google, Huawei, LGE, Motorola, Nokia หรือ Samsung

เวอร์ชัน

เวอร์ชัน	วันที่	หมายเหตุ
1.0	1 กรกฎาคม 2024	เผยแพร่ Bulletin แล้ว