بولتن به‌روزرسانی سیستم‌عامل Android Automotive - دسامبر 2021

بولتن به‌روزرسانی سیستم‌عامل Android Automotive - دسامبر 2021

منتشر شده در 6 دسامبر 2021

بولتن به‌روزرسانی سیستم‌عامل Android Automotive (AAOS) حاوی جزئیاتی از آسیب‌پذیری‌های امنیتی است که بر پلتفرم سیستم عامل Android Automotive تأثیر می‌گذارد. به روز رسانی AAOS کامل شامل سطح وصله امنیتی از 2021/12/05 و یا بعد از دسامبر 2021 آندروید بولتن امنیتی علاوه بر تمام مسائل در این بولتن.

ما همه مشتریان را تشویق می کنیم که این به روز رسانی ها را برای دستگاه های خود بپذیرند.

شدیدترین این مشکلات یک آسیب پذیری امنیتی بالا در مؤلفه برنامه های پلتفرم است که می تواند یک برنامه مخرب محلی را قادر سازد تا الزامات تعامل کاربر را برای دسترسی به مجوزهای اضافی دور بزند. شدت اختلال بر اثر است که بهره برداری از آسیب پذیری احتمالا بر روی یک دستگاه را تحت تاثیر قرار، با فرض پلت فرم و خدمات mitigations خاموش برای اهداف توسعه تبدیل شده و یا اگر با موفقیت دور زد است.

اطلاعیه ها

  • علاوه بر آسیب‌پذیری‌های امنیتی توضیح‌داده‌شده در بولتن امنیتی اندروید دسامبر ۲۰۲۱، بولتن آپدیت سیستم‌عامل Android Automotive دسامبر ۲۰۲۱ همچنین حاوی وصله‌هایی است که به‌طور خاص برای آسیب‌پذیری‌های AAOS به شرح زیر است.

جزئیات آسیب پذیری سطح وصله امنیتی 01/12/2021

در بخش‌های زیر، جزئیات مربوط به هر یک از آسیب‌پذیری‌های امنیتی را که در سطح وصله 2021-12-01 اعمال می‌شوند، ارائه می‌کنیم. آسیب‌پذیری‌ها بر اساس مؤلفه‌ای که بر آن تأثیر می‌گذارند گروه‌بندی می‌شوند. مسائل در جداول زیر توضیح داده و شامل CVE ID، مراجع مرتبط، نوع آسیب پذیری ، شدت ، و نسخه های به روز AOSP (در صورت وجود). هنگامی که در دسترس باشد، تغییر عمومی را که مشکل را حل کرده است، مانند لیست تغییرات AOSP، به شناسه اشکال مرتبط می کنیم. هنگامی که تغییرات متعدد به یک باگ مربوط می شود، ارجاعات اضافی به اعداد زیر شناسه اشکال مرتبط می شوند. دستگاه های با آندروید 10 و بعد از به روز رسانی امنیتی ممکن است و همچنین دریافت به روز رسانی سیستم های بازی گوگل .

برنامه های پلتفرم

شدیدترین آسیب پذیری در این بخش می تواند یک برنامه مخرب محلی را قادر سازد تا الزامات تعامل کاربر را برای دسترسی به مجوزهای اضافی دور بزند.
CVE منابع تایپ کنید شدت نسخه های AOSP به روز شده
CVE-2021-1039 الف-182808318 EoP بالا 9، 10، 11، 12
CVE-2021-1040 الف-182810085 EoP بالا 9، 10، 11، 12
CVE-2021-1038 الف-183411279 DoS بالا 9، 10، 11، 12

پرسش و پاسخ متداول

این بخش به سوالات رایجی که ممکن است پس از خواندن این بولتن رخ دهد پاسخ می دهد.

1. چگونه تشخیص دهم که آیا دستگاه من برای رفع این مشکلات به روز شده است؟

برای آشنایی با نحوه بررسی سطح وصله امنیتی دستگاه، خواندن دستورالعمل در برنامه به روز رسانی دستگاه Google .

  • سطوح وصله امنیتی 2021-12-01 یا جدیدتر تمام مشکلات مرتبط با سطح وصله امنیتی 2021-12-01 را برطرف می کند.

سازندگان دستگاه‌هایی که شامل این به‌روزرسانی‌ها می‌شوند باید سطح رشته وصله را روی موارد زیر تنظیم کنند:

  • [ro.build.version.security_patch]:[01-12-2021]

برای برخی از دستگاه‌های اندروید 10 یا بالاتر، به‌روزرسانی سیستم Google Play دارای یک رشته تاریخی است که با سطح وصله امنیتی 01-12-2021 مطابقت دارد. لطفا برای دیدن این مقاله برای اطلاعات بیشتر در مورد چگونگی نصب به روز رسانی امنیتی.

2. چه در نوع متوسط ستون انجام مدخل؟

مطالب در نوع ستون از آسیب پذیری جزئیات مرجع جدول طبقه بندی آسیب پذیری امنیتی.

مخفف تعریف
RCE اجرای کد از راه دور
EoP بالا بردن امتیاز
شناسه افشای اطلاعات
DoS خود داری از خدمات
N/A طبقه بندی در دسترس نیست

3. چه در منابع میانگین ستون انجام مدخل؟

مطالب زیر ستون منابع از جدول جزئیات آسیب پذیری ممکن است یک پیشوند شناسایی سازمانی که مقدار مرجع متعلق باشد.

پیشوند ارجاع
آ- شناسه باگ اندروید
QC- شماره مرجع کوالکام
M- شماره مرجع مدیاتک
N- شماره مرجع NVIDIA
ب- شماره مرجع Broadcom
U- شماره مرجع UNISOC

4. چه می کند یک * در کنار ID اشکال نرم افزار در منابع میانگین ستون؟

مسائلی که به صورت عمومی در دسترس نیستند دارای علامت * در کنار شناسه مرجع مربوطه هستند. به روز رسانی برای این مسئله به طور کلی در آخرین درایور باینری برای دستگاه های پیکسل های موجود از موجود سایت توسعه دهنده گوگل .

5. چرا آسیب‌پذیری‌های امنیتی بین این بولتن و بولتن‌های امنیتی دستگاه/شریک، مانند بولتن Pixel تقسیم می‌شوند؟

آسیب پذیری های امنیتی که در این بولتن امنیتی مستند شده اند برای اعلام آخرین سطح وصله امنیتی در دستگاه های اندرویدی مورد نیاز هستند. آسیب‌پذیری‌های امنیتی اضافی که در بولتن‌های امنیتی دستگاه/شریک مستند شده‌اند، برای اعلام سطح وصله امنیتی لازم نیست. دستگاه و چیپ ست تولید کنندگان آندروید نیز ممکن است جزئیات آسیب پذیری امنیتی خاص به محصولات خود، مانند انتشار گوگل ، هواوی ، LGE ، موتورولا ، نوکیا ، و یا سامسونگ .

نسخه ها

نسخه تاریخ یادداشت
1.0 6 دسامبر 2021 بولتن منتشر شد