กระดานข่าวสารด้านความปลอดภัยของ Android มีรายละเอียดของช่องโหว่ด้านความปลอดภัยที่ส่งผลกระทบต่ออุปกรณ์ Android ระดับแพตช์ด้านความปลอดภัย ของวันที่ 05-08-2024 หรือใหม่กว่าจะแก้ไขปัญหาทั้งหมดนี้ ดูวิธี ตรวจสอบระดับแพตช์ด้านความปลอดภัยของอุปกรณ์ได้ที่ ตรวจสอบ และอัปเดตเวอร์ชัน Android
พาร์ทเนอร์ Android จะได้รับการแจ้งเตือนเกี่ยวกับปัญหาทั้งหมดอย่างน้อย 1 เดือน ก่อนการเผยแพร่ แพตช์ซอร์สโค้ดสำหรับปัญหาเหล่านี้จะเผยแพร่ไปยังที่เก็บของโครงการโอเพนซอร์ส Android (AOSP) ในอีก 48 ชั่วโมง เราจะแก้ไขประกาศนี้พร้อมลิงก์ AOSP เมื่อลิงก์พร้อมใช้งาน
ปัญหาที่ร้ายแรงที่สุดคือช่องโหว่ด้านความปลอดภัยสูง ในคอมโพเนนต์ Framework ซึ่งอาจนำไปสู่การ ยกระดับสิทธิ์ในเครื่องโดยไม่ต้องมีสิทธิ์การดำเนินการเพิ่มเติม การประเมินความรุนแรงขึ้นอยู่กับผลกระทบที่การใช้ช่องโหว่อาจมีต่ออุปกรณ์ที่ได้รับผลกระทบ โดยสมมติว่าแพลตฟอร์มและการลดความเสี่ยงของบริการปิดอยู่เพื่อวัตถุประสงค์ในการพัฒนา หรือหากมีการข้ามการลดความเสี่ยงดังกล่าวได้สำเร็จ
ดูรายละเอียดเกี่ยวกับการป้องกันแพลตฟอร์ม ความปลอดภัยของ Android และ Google Play Protect ซึ่งช่วยปรับปรุง ความปลอดภัยของแพลตฟอร์ม Android ได้ที่ส่วนการลดความเสี่ยงของ Android และ Google Play Protect
การลดความเสี่ยงของ Android และ บริการของ Google
นี่คือสรุปการลดความเสี่ยงที่แพลตฟอร์ม ความปลอดภัยของ Android และการป้องกันบริการ เช่น Google Play Protect มอบให้ ความสามารถเหล่านี้ช่วยลดโอกาสที่ช่องโหว่ด้านความปลอดภัยจะถูกเจาะใน Android ได้สำเร็จ
- การปรับปรุงในแพลตฟอร์ม Android เวอร์ชันใหม่ทำให้การใช้ช่องโหว่สำหรับปัญหาหลายอย่างใน Android ทำได้ยากขึ้น เราขอแนะนำให้ผู้ใช้ทุกรายอัปเดตเป็น Android เวอร์ชันล่าสุดหากเป็นไปได้
- ทีมความปลอดภัยของ Android คอยตรวจสอบการละเมิดอย่างสม่ำเสมอ ผ่าน Google Play Protect และเตือน ผู้ใช้เกี่ยวกับแอปพลิเคชันที่อาจเป็นอันตราย Google Play Protect จะเปิดใช้โดยค่าเริ่มต้นในอุปกรณ์ที่มีบริการของ Google Mobile และมีความสำคัญอย่างยิ่งสำหรับผู้ใช้ที่ติดตั้งแอปจากภายนอก Google Play
รายละเอียดช่องโหว่ระดับแพตช์ด้านความปลอดภัยวันที่ 01-08-2024
ในส่วนด้านล่าง เราจะให้รายละเอียดเกี่ยวกับ ช่องโหว่ด้านความปลอดภัยแต่ละรายการที่เกี่ยวข้องกับแพตช์ ระดับ 2024-08-01 ระบบจะแบ่งประเภทช่องโหว่ตามคอมโพเนนต์ที่ได้รับผลกระทบ ปัญหาจะอธิบายไว้ในตารางด้านล่างและมี CVE ID, ข้อมูลอ้างอิงที่เกี่ยวข้อง, ประเภทของช่องโหว่, ความรุนแรง, และเวอร์ชัน AOSP ที่อัปเดตแล้ว (หาก เกี่ยวข้อง) เมื่อมีการเปลี่ยนแปลงแบบสาธารณะที่ แก้ไขปัญหาแล้ว เราจะลิงก์การเปลี่ยนแปลงดังกล่าวกับรหัสข้อบกพร่อง เช่น รายการการเปลี่ยนแปลงของ AOSP เมื่อการเปลี่ยนแปลงหลายรายการเกี่ยวข้องกับข้อบกพร่องเดียว ระบบจะลิงก์ข้อมูลอ้างอิงเพิ่มเติมกับหมายเลขที่ต่อท้ายรหัสข้อบกพร่อง อุปกรณ์ ที่ใช้ Android 10 ขึ้นไปอาจได้รับการอัปเดตความปลอดภัยและการอัปเดตระบบ Google Play
Framework
ช่องโหว่ที่ร้ายแรงที่สุดใน ส่วนนี้อาจทำให้เกิดการเพิ่มสิทธิ์ในเครื่องโดยไม่ต้อง มีสิทธิ์การดำเนินการเพิ่มเติม
| CVE | ข้อมูลอ้างอิง | ประเภท | ความรุนแรง | เวอร์ชัน AOSP ที่อัปเดตแล้ว |
|---|---|---|---|---|
| CVE-2023-20971 | A-225880325 | EoP | สูง | 12, 12L, 13, 14 |
| CVE-2023-21351 | A-232798676 | EoP | สูง | 12, 12L, 13 |
| CVE-2024-34731 | A-319210610 [2] [3] [4] [5] | EoP | สูง | 12, 12L, 13, 14 |
| CVE-2024-34734 | A-304772709 | EoP | สูง | 13, 14 |
| CVE-2024-34735 | A-336490997 | EoP | สูง | 12, 12L, 13 |
| CVE-2024-34737 | A-283103220 | EoP | สูง | 12, 12L, 13, 14 |
| CVE-2024-34738 | A-336323279 | EoP | สูง | 13, 14 |
| CVE-2024-34740 | A-307288067 [2] | EoP | สูง | 12, 12L, 13, 14 |
| CVE-2024-34741 | A-318683640 | EoP | สูง | 12, 12L, 13, 14 |
| CVE-2024-34743 | A-336648613 | EoP | สูง | 14 |
| CVE-2024-34736 | A-288549440 | รหัส | สูง | 12, 12L, 13, 14 |
| CVE-2024-34742 | A-335232744 | DoS | สูง | 14 |
ระบบ
ช่องโหว่ในส่วนนี้ อาจทำให้มีการเปิดเผยข้อมูลจากระยะไกลโดยไม่ต้องมี สิทธิ์การดำเนินการเพิ่มเติม
| CVE | ข้อมูลอ้างอิง | ประเภท | ความรุนแรง | เวอร์ชัน AOSP ที่อัปเดตแล้ว |
|---|---|---|---|---|
| CVE-2024-34727 | A-287184435 | รหัส | สูง | 12, 12L, 13, 14 |
การอัปเดตระบบ Google Play
ไม่มีปัญหาด้านความปลอดภัยที่ได้รับการแก้ไขในการอัปเดตระบบ Google Play (Project Mainline) ในเดือนนี้
รายละเอียดช่องโหว่ระดับแพตช์ด้านความปลอดภัย 2024-08-05
ในส่วนด้านล่าง เราจะให้รายละเอียดเกี่ยวกับ ช่องโหว่ด้านความปลอดภัยแต่ละรายการที่ใช้กับแพตช์ ระดับ 2024-08-05 ระบบจะแบ่งประเภทช่องโหว่ตามคอมโพเนนต์ที่ได้รับผลกระทบ ปัญหาจะอธิบายไว้ในตารางด้านล่างและมี CVE ID, ข้อมูลอ้างอิงที่เกี่ยวข้อง, ประเภทของช่องโหว่, ความรุนแรง, และเวอร์ชัน AOSP ที่อัปเดตแล้ว (หาก เกี่ยวข้อง) เมื่อมีการเปลี่ยนแปลงแบบสาธารณะที่ แก้ไขปัญหาแล้ว เราจะลิงก์การเปลี่ยนแปลงดังกล่าวกับรหัสข้อบกพร่อง เช่น รายการการเปลี่ยนแปลงของ AOSP เมื่อการเปลี่ยนแปลงหลายรายการเกี่ยวข้องกับข้อบกพร่องเดียว ระบบจะลิงก์ข้อมูลอ้างอิงเพิ่มเติมกับหมายเลขที่ต่อท้ายรหัสข้อบกพร่อง
เคอร์เนล
ช่องโหว่ในส่วนนี้ อาจนำไปสู่การเรียกใช้โค้ดจากระยะไกลโดยต้องมีสิทธิ์ การดำเนินการของระบบ
| CVE | ข้อมูลอ้างอิง | ประเภท | ความรุนแรง | องค์ประกอบย่อย |
|---|---|---|---|---|
| CVE-2024-36971 |
A-343727534 เคอร์เนลต้นทาง [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] |
RCE | สูง | เคอร์เนล |
คอมโพเนนต์ของ Arm
ช่องโหว่เหล่านี้ส่งผลต่อคอมโพเนนต์ของ Arm และดูรายละเอียดเพิ่มเติมได้จาก Arm โดยตรง การประเมินความรุนแรง ของปัญหาเหล่านี้มาจาก Arm โดยตรง
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | องค์ประกอบย่อย |
|---|---|---|---|
| CVE-2024-2937 |
A-339866012 * | สูง | มาลี |
| CVE-2024-4607 |
A-339869945 * | สูง | มาลี |
Imagination Technologies
ช่องโหว่นี้ส่งผลต่อคอมโพเนนต์ของ Imagination Technologies และดูรายละเอียดเพิ่มเติมได้จาก Imagination Technologies โดยตรง การประเมินความรุนแรงของปัญหานี้มาจาก Imagination Technologies โดยตรง
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | องค์ประกอบย่อย |
|---|---|---|---|
| CVE-2024-31333 |
A-331435657 * | สูง | PowerVR-GPU |
คอมโพเนนต์ของ MediaTek
ช่องโหว่นี้ส่งผลต่อคอมโพเนนต์ของ MediaTek และดูรายละเอียดเพิ่มเติมได้โดยตรงจาก MediaTek MediaTek เป็นผู้ประเมินความรุนแรง ของปัญหานี้โดยตรง
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | องค์ประกอบย่อย |
|---|---|---|---|
| CVE-2024-20082 |
A-344434139 M-MOLY01182594 * |
สูง | โมเด็ม |
คอมโพเนนต์ของ Qualcomm
ช่องโหว่เหล่านี้ส่งผลต่อคอมโพเนนต์ของ Qualcomm และมี รายละเอียดเพิ่มเติมในกระดานข่าวความปลอดภัยหรือการแจ้งเตือนด้านความปลอดภัยที่เหมาะสมของ Qualcomm Qualcomm เป็นผู้ประเมินความรุนแรงของปัญหาเหล่านี้โดยตรง
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | องค์ประกอบย่อย |
|---|---|---|---|
| CVE-2024-21478 |
A-323926460 QC-CR#3594987 |
สูง | Display |
| CVE-2024-23381 |
A-339043781 QC-CR#3701594 [2] |
สูง | Display |
| CVE-2024-23382 |
A-339043615 QC-CR#3704061 [2] |
สูง | Display |
| CVE-2024-23383 |
A-339042492 QC-CR#3707659 |
สูง | Display |
| CVE-2024-23384 |
A-339043323
QC-CR#3704870 [2] [3] [4] |
สูง | Display |
| CVE-2024-33010 |
A-339043396 QC-CR#3717571 |
สูง | WLAN |
| CVE-2024-33011 |
A-339043727 QC-CR#3717567 |
สูง | WLAN |
| CVE-2024-33012 |
A-339043053 QC-CR#3717566 |
สูง | WLAN |
| CVE-2024-33013 |
A-339042691 QC-CR#3710085 |
สูง | WLAN |
| CVE-2024-33014 |
A-339043382 QC-CR#3710081 |
สูง | WLAN |
| CVE-2024-33015 |
A-339043107
QC-CR#3710080 |
สูง | WLAN |
| CVE-2024-33018 |
A-339043500 QC-CR#3704796 |
สูง | WLAN |
| CVE-2024-33019 |
A-339043783 QC-CR#3704794 |
สูง | WLAN |
| CVE-2024-33020 |
A-339043480 QC-CR#3704762 |
สูง | WLAN |
| CVE-2024-33023 |
A-339043278 QC-CR#3702019 [2] |
สูง | Display |
| CVE-2024-33024 |
A-339043270 QC-CR#3700072 |
สูง | WLAN |
| CVE-2024-33025 |
A-339042969 QC-CR#3700045 |
สูง | WLAN |
| CVE-2024-33026 |
A-339043880 QC-CR#3699954 |
สูง | WLAN |
| CVE-2024-33027 |
A-316373168 QC-CR#3697522 |
สูง | Display |
| CVE-2024-33028 |
A-339043463 QC-CR#3694338 |
สูง | Display |
คอมโพเนนต์ที่ไม่เปิดเผยรหัสต้นฉบับของ Qualcomm
ช่องโหว่เหล่านี้ส่งผลกระทบต่อคอมโพเนนต์แบบปิดของ Qualcomm และมีการอธิบายรายละเอียดเพิ่มเติมในกระดานข่าวสารด้านความปลอดภัยหรือการแจ้งเตือนความปลอดภัยที่เหมาะสมของ Qualcomm การประเมินความรุนแรงของปัญหาเหล่านี้มาจาก Qualcomm โดยตรง
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | องค์ประกอบย่อย |
|---|---|---|---|
| CVE-2024-23350 |
A-323919259 * | วิกฤต | คอมโพเนนต์แบบปิด |
| CVE-2024-21481 |
A-323918669 * | สูง | คอมโพเนนต์แบบปิด |
| CVE-2024-23352 |
A-323918787 * | สูง | คอมโพเนนต์แบบปิด |
| CVE-2024-23353 |
A-323918845 * | สูง | คอมโพเนนต์แบบปิด |
| CVE-2024-23355 |
A-323918338 * | สูง | คอมโพเนนต์แบบปิด |
| CVE-2024-23356 |
A-323919081 * | สูง | คอมโพเนนต์แบบปิด |
| CVE-2024-23357 |
A-323919249 * | สูง | คอมโพเนนต์แบบปิด |
คำถามและคำตอบที่พบบ่อย
ส่วนนี้จะตอบคำถามที่พบบ่อยซึ่งผู้ใช้อาจสงสัยหลังจากที่อ่านกระดานข่าวสารนี้
1. ฉันจะทราบได้อย่างไรว่าอุปกรณ์ได้รับการอัปเดตเพื่อ แก้ไขปัญหาเหล่านี้แล้ว
ดูวิธีตรวจสอบระดับแพตช์ด้านความปลอดภัยของอุปกรณ์ได้ที่ตรวจสอบและอัปเดตเวอร์ชัน Android
- ระดับแพตช์ความปลอดภัยตั้งแต่ 2024-08-01 เป็นต้นไปจะแก้ไขปัญหาทั้งหมด ที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัย 2024-08-01
- ระดับแพตช์ด้านความปลอดภัยของวันที่ 05-08-2024 ขึ้นไปจะแก้ไขปัญหาทั้งหมด ที่เกี่ยวข้องกับระดับแพตช์ด้านความปลอดภัยของวันที่ 05-08-2024 และ ระดับแพตช์ก่อนหน้าทั้งหมด
ผู้ผลิตอุปกรณ์ที่รวมการอัปเดตเหล่านี้ควรตั้งค่า ระดับสตริงแพตช์เป็น
- [ro.build.version.security_patch]:[2024-08-01]
- [ro.build.version.security_patch]:[2024-08-05]
สำหรับอุปกรณ์บางรุ่นที่ใช้ Android 10 ขึ้นไป การอัปเดตระบบ Google Play จะมีสตริงวันที่ที่ตรงกับระดับแพตช์ด้านความปลอดภัย 2024-08-01 โปรดดูรายละเอียดเพิ่มเติมเกี่ยวกับวิธีติดตั้งการอัปเดตความปลอดภัยได้ในบทความนี้
2. ทำไมกระดานข่าวนี้จึงมีแพตช์ความปลอดภัย 2 ระดับ
ประกาศนี้มีแพตช์ด้านความปลอดภัย 2 ระดับเพื่อให้พาร์ทเนอร์ของ Android มีความยืดหยุ่นในการแก้ไขชุดย่อยของช่องโหว่ ที่คล้ายกันในอุปกรณ์ Android ทั้งหมดได้เร็วขึ้น เราขอแนะนำให้พาร์ทเนอร์ของ Android แก้ไขปัญหาทั้งหมดในประกาศนี้และ ใช้ระดับแพตช์ด้านความปลอดภัยล่าสุด
- อุปกรณ์ที่ใช้ระดับแพตช์ด้านความปลอดภัย 2024-08-01 ต้อง รวมปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ด้านความปลอดภัยนั้น รวมถึงการแก้ไขปัญหาทั้งหมดที่รายงานในกระดานข่าวความปลอดภัยก่อนหน้า
- อุปกรณ์ที่ใช้ระดับแพตช์ด้านความปลอดภัย 2024-08-05 หรือใหม่กว่าต้องมีแพตช์ที่เกี่ยวข้องทั้งหมดในกระดานข่าวความปลอดภัยนี้ (และกระดานข่าวความปลอดภัยก่อนหน้า)
เราขอแนะนำให้พาร์ทเนอร์รวมการแก้ไขปัญหาทั้งหมด ที่พาร์ทเนอร์กำลังดำเนินการไว้ในการอัปเดตครั้งเดียว
3. รายการในคอลัมน์ประเภทหมายถึงอะไร
รายการในคอลัมน์ประเภทของตารางรายละเอียดช่องโหว่จะอ้างอิงการแยกประเภทช่องโหว่ด้านความปลอดภัย
| ตัวย่อ | คำจำกัดความ |
|---|---|
| RCE | การดำเนินการกับโค้ดจากระยะไกล |
| EoP | การยกระดับสิทธิ์ |
| ID | การเปิดเผยข้อมูล |
| DoS | การปฏิเสธการให้บริการ |
| ไม่มี | ไม่มีการแยกประเภท |
4. รายการในคอลัมน์ข้อมูลอ้างอิง หมายถึงอะไร
รายการในคอลัมน์การอ้างอิงของตารางรายละเอียดช่องโหว่อาจมีคำนำหน้าที่ระบุองค์กรที่ค่าอ้างอิงเป็นของ
| คำนำหน้า | ข้อมูลอ้างอิง |
|---|---|
| A- | รหัสข้อบกพร่องของ Android |
| QC- | หมายเลขอ้างอิงของ Qualcomm |
| M- | หมายเลขอ้างอิงของ MediaTek |
| N- | หมายเลขอ้างอิงของ NVIDIA |
| B- | หมายเลขอ้างอิงของ Broadcom |
| U- | หมายเลขอ้างอิงของ UNISOC |
5. เครื่องหมาย * ข้างรหัสข้อบกพร่องของ Android ในคอลัมน์การอ้างอิงหมายความว่าอย่างไร
ปัญหาที่ไม่ได้เผยแพร่ต่อสาธารณะจะมีเครื่องหมาย * อยู่ข้างรหัสอ้างอิงที่เกี่ยวข้อง โดยปกติแล้ว การอัปเดตสำหรับปัญหานั้นจะรวมอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับอุปกรณ์ Pixel ซึ่งมีให้บริการในเว็บไซต์ของนักพัฒนาแอป Google
6. เหตุใดช่องโหว่ด้านความปลอดภัยจึงแยกออกเป็นประกาศนี้และประกาศด้านความปลอดภัยของอุปกรณ์ / พาร์ทเนอร์ เช่น ประกาศของ Pixel
ช่องโหว่ด้านความปลอดภัยที่บันทึกไว้ในประกาศข่าวสารด้านความปลอดภัยนี้ ต้องประกาศระดับแพตช์ด้านความปลอดภัยล่าสุด ในอุปกรณ์ Android ไม่จำเป็นต้องประกาศระดับแพตช์ด้านความปลอดภัยสำหรับช่องโหว่ด้านความปลอดภัยเพิ่มเติมที่ ระบุไว้ในประกาศข่าวสารด้านความปลอดภัยของอุปกรณ์ / พาร์ทเนอร์ ผู้ผลิตอุปกรณ์ Android และชิปเซ็ตอาจเผยแพร่รายละเอียดช่องโหว่ด้านความปลอดภัยที่เฉพาะเจาะจงสำหรับผลิตภัณฑ์ของตนด้วย เช่น Google, Huawei, LGE, Motorola, Nokia หรือ Samsung
เวอร์ชัน
| เวอร์ชัน | วันที่ | หมายเหตุ |
|---|---|---|
| 1.0 | 5 สิงหาคม 2024 | เผยแพร่ Bulletin แล้ว |
| 1.1 | 24 ตุลาคม 2024 | ตาราง CVE ที่อัปเดตแล้ว |