Бюллетень обновлений ОС Android для автомобилей - декабрь 2021 г.

Бюллетень обновлений ОС Android для автомобилей - декабрь 2021 г.

Опубликовано 6 декабря 2021 г.

Бюллетень обновлений Android Automotive OS (AAOS) содержит подробную информацию об уязвимостях системы безопасности, влияющих на платформу Android Automotive OS. Полное обновление AAOS содержит уровень патча безопасности 2021-12-05 или позже с декабря 2021 года Android бюллетене по безопасности в дополнение ко всем вопросам , в этом бюллетене.

Мы призываем всех клиентов принять эти обновления на своих устройствах.

Наиболее серьезной из этих проблем является уязвимость с высоким уровнем безопасности в компоненте Platform Apps, которая может позволить локальному вредоносному приложению обойти требования взаимодействия с пользователем для получения доступа к дополнительным разрешениям. Оценка тяжести основана на том , что использование уязвимости, возможно , придется на соответствующем устройстве, в предположении , что платформа и обслуживание смягчение выключаются в целях развития или , если успешно обходили.

Анонсы

  • В дополнение к уязвимостям безопасности, описанным в Бюллетене по безопасности Android за декабрь 2021 года, Бюллетень обновлений ОС Android для автомобилей за декабрь 2021 года также содержит исправления, специально предназначенные для уязвимостей AAOS, как описано ниже.

2021-12-01 Сведения об уязвимости уровня исправления безопасности

В разделах ниже мы приводим подробную информацию о каждой из уязвимостей системы безопасности, относящихся к уровню исправления 2021-12-01. Уязвимости сгруппированы по компонентам, на которые они влияют. Проблемы описаны в таблицах ниже и включают в себя идентификатор CVE, связанные ссылки, тип уязвимости , степени тяжести , а также обновленные версии AOSP (где это применимо). Когда доступно, мы связываем общедоступное изменение, устраняющее проблему, с идентификатором ошибки, например, со списком изменений AOSP. Когда несколько изменений относятся к одной ошибке, дополнительные ссылки связаны с номерами, следующими за идентификатором ошибки. Устройства с Android 10 и более поздних версий могут получать обновления безопасности, а также обновление системы Play Google .

Платформенные приложения

Самая серьезная уязвимость в этом разделе может позволить локальному вредоносному приложению обойти требования взаимодействия с пользователем для получения доступа к дополнительным разрешениям.
CVE использованная литература Тип Строгость Обновленные версии AOSP
CVE-2021-1039 A-182808318 EoP Высокий 9, 10, 11, 12
CVE-2021-1040 A-182810085 EoP Высокий 9, 10, 11, 12
CVE-2021-1038 A-183411279 DoS Высокий 9, 10, 11, 12

Общие вопросы и ответы

В этом разделе даны ответы на общие вопросы, которые могут возникнуть после прочтения этого бюллетеня.

1. Как определить, обновлено ли мое устройство для решения этих проблем?

Чтобы узнать , как проверить уровень обновления безопасности для устройства ознакомьтесь с инструкциями по графике обновления устройства Google .

  • Уровни исправления безопасности от 01.12.2021 или более поздние устраняют все проблемы, связанные с уровнем исправления безопасности 2021-12-01.

Производители устройств, которые включают эти обновления, должны установить уровень строки исправления:

  • [ro.build.version.security_patch]: [2021-12-01]

Для некоторых устройств на Android 10 или новее в обновлении системы Google Play будет строка даты, соответствующая уровню исправления безопасности 2021-12-01. Пожалуйста , смотрите эту статью для получения более подробной информации о том , как установить обновление безопасности.

2. Что делать записи в колонке среднего типа?

Записи в столбце Типа уязвимости в таблице данных Ссылки классификации уязвимости.

Сокращенное название Определение
RCE Удаленное выполнение кода
EoP Повышение привилегий
Я БЫ Раскрытие информации
DoS Отказ в обслуживании
Нет данных Классификация недоступна

3. Что делать записи в справочниках колонке среднем?

Записи в столбце Ссылки таблицы подробностей уязвимости могут содержать префикс , идентифицирующий организацию , к которой принадлежит эталонное значение.

Приставка Ссылка
А- Идентификатор ошибки Android
QC- Ссылочный номер Qualcomm
М- Ссылочный номер MediaTek
N- Ссылочный номер NVIDIA
B- Ссылочный номер Broadcom
U- Регистрационный номер UNISOC

4. Что делает * рядом с Android ошибки ID в References колонки среднего?

Проблемы, которые не являются общедоступными, помечены * рядом с соответствующим идентификатором ссылки. Обновление для этого вопроса , как правило , содержатся в последних бинарных драйверов для устройств пиксельных , доступных с сайта разработчика Google .

5. Почему уязвимости безопасности разделены между этим бюллетенем и бюллетенями по безопасности устройств / партнеров, такими как бюллетень Pixel?

Уязвимости безопасности, задокументированные в этом бюллетене по безопасности, необходимы для объявления последнего уровня исправления безопасности на устройствах Android. Дополнительные уязвимости безопасности, которые задокументированы в бюллетенях по безопасности устройства / партнера, не требуются для объявления уровня исправления безопасности. Производители Android устройств и чипсета также могут публиковать данные уязвимости безопасности , специфичные для своих продуктов, таких как Google , Huawei , LGE , Motorola , Nokia или Samsung .

Версии

Версия Дата Примечания
1.0 6 декабря 2021 г. Бюллетень выпущен