تم النشر في ٤ يناير ٢٠٢٢
تحتوي نشرة تحديث نظام التشغيل Android Automotive OS (AAOS) على تفاصيل الثغرات الأمنية التي تؤثر على نظام التشغيل Android Automotive OS. ويضم التحديث AAOS الكامل مستوى تصحيح الأمان من 2022/01/05 أو في وقت لاحق من نشرة الأمن الروبوت يناير 2022 بالإضافة إلى كل القضايا في هذه النشرة.
نحن نشجع جميع العملاء على قبول هذه التحديثات على أجهزتهم.
أخطر هذه المشكلات هو وجود ثغرة أمنية عالية في مكون AAOS والتي يمكن أن تمكن تطبيق ضار محلي من الوصول إلى امتيازات إضافية بسبب نائب مرتبك. ل تقييم شدة يقوم على أساس مفادها أن استغلال الضعف من المحتمل ان يكون على جهاز المتضررين، على افتراض يتم تشغيل منصة والخدمة التخفيف قبالة لأغراض التطوير أو إذا تجاوز بنجاح.
الإعلانات
- بالإضافة إلى الثغرات الأمنية الموضحة في نشرة أمان Android لشهر يناير 2022 ، تحتوي نشرة تحديث نظام التشغيل Android Automotive OS لشهر يناير 2022 أيضًا على تصحيحات خاصة بالثغرات الأمنية AAOS كما هو موضح أدناه.
2022-01-01 تفاصيل الثغرة الأمنية في مستوى تصحيح الأمان
في الأقسام أدناه ، نقدم تفاصيل عن كل ثغرة أمنية تنطبق على مستوى التصحيح 2022-01-01. يتم تجميع الثغرات الأمنية تحت المكون الذي تؤثر عليه. وصفت القضايا في الجداول أدناه وتشمل CVE ID والمراجع المرتبطة بها، نوع من الضعف ، شدة ، والإصدارات AOSP المحدثة (إن وجد). عند توفرها ، نربط التغيير العام الذي عالج المشكلة بمعرف الخطأ ، مثل قائمة تغيير AOSP. عندما تتعلق تغييرات متعددة بخلل واحد ، يتم ربط مراجع إضافية بأرقام تتبع معرّف الخطأ. أجهزة الروبوت مع 10 و في وقت لاحق قد تلقي التحديثات الأمنية وكذلك جوجل تحديثات نظام التشغيل .
AAOS
قد تؤدي أخطر ثغرة في هذا القسم إلى تمكين تطبيق ضار محلي من الوصول إلى امتيازات إضافية بسبب نائب مرتبك.
| CVE | مراجع | نوع | خطورة | إصدارات AOSP المحدثة |
|---|---|---|---|---|
| CVE-2021-1035 | 195668284 | EoP | متوسط | 10 ، 12 |
| CVE-2021-1036 | أ -182812255 | EoP | متوسط | 9 ، 10 ، 11 ، 12 |
| CVE-2021-1037 | أ -162951906 | بطاقة تعريف | متوسط | 9 ، 10 ، 11 ، 12 |
أسئلة وأجوبة شائعة
يجيب هذا القسم على الأسئلة الشائعة التي قد تطرأ بعد قراءة هذه النشرة.
1. كيف يمكنني تحديد ما إذا تم تحديث جهازي لمعالجة هذه المشكلات؟
لمعرفة كيفية التحقق من مستوى تصحيح الأمان للجهاز، وقراءة التعليمات على الجدول الزمني تحديث جهاز جوجل .
- تتناول مستويات تصحيح الأمان 2022-01-01 أو أحدث جميع المشكلات المرتبطة بمستوى تصحيح الأمان 2022-01-01.
يجب على الشركات المصنعة للأجهزة التي تتضمن هذه التحديثات تعيين مستوى سلسلة التصحيح إلى:
- [ro.build.version.security_patch]: [2022-01-01]
بالنسبة لبعض الأجهزة التي تعمل بنظام Android 10 أو إصدار أحدث ، سيكون لتحديث نظام Google Play سلسلة تاريخ تطابق مستوى تصحيح الأمان 2022-01-01. يرجى الاطلاع على هذه المادة لمزيد من المعلومات حول كيفية تثبيت تحديثات الأمان.
2. ماذا الإدخالات في نوع العمود يعني؟
مقالات في العمود نوع من الضعف تفاصيل الجدول المرجعي تصنيف ثغرة أمنية.
| اختصار | تعريف |
| RCE | تنفيذ التعليمات البرمجية عن بعد |
| EoP | رفع الامتياز |
| بطاقة تعريف | الإفصاح عن المعلومات |
| DoS | الحرمان من الخدمة |
| غير متاح | التصنيف غير متوفر |
3. ماذا الإدخالات في المراجع العمود يعني؟
قد تحتوي على مقالات تحت عمود مراجع الجدول تفاصيل الضعف بادئة تحديد المنظمة التي ينتمي القيمة المرجعية.
| اختصار | المرجعي |
|---|---|
| أ- | معرف خطأ Android |
| QC- | الرقم المرجعي لشركة Qualcomm |
| م- | الرقم المرجعي MediaTek |
| ن- | الرقم المرجعي لـ NVIDIA |
| ب- | الرقم المرجعي من Broadcom |
| ش- | الرقم المرجعي لـ UNISOC |
4. ماذا لID علة الروبوت في المراجع عمود متوسط ل* بعد ذلك؟
المشكلات غير المتاحة للجمهور بها علامة * بجوار معرّف المرجع المقابل. ويرد تحديث لهذه المسألة عموما في أحدث برامج التشغيل الثنائية لأجهزة بكسل متوفرة من موقع المطور جوجل .
5. لماذا يتم تقسيم الثغرات الأمنية بين هذه النشرة ونشرات أمان الجهاز / الشريك ، مثل نشرة Pixel؟
الثغرات الأمنية التي تم توثيقها في نشرة الأمن هذه مطلوبة للإعلان عن أحدث مستوى من تصحيح الأمان على أجهزة Android. الثغرات الأمنية الإضافية التي تم توثيقها في نشرات أمان الجهاز / الشريك غير مطلوبة للإعلان عن مستوى تصحيح الأمان. قد الروبوت الجهاز وشرائح المصنعين أيضا بنشر تفاصيل ثغرة أمنية محددة لمنتجاتها، مثل جوجل ، هواوي ، إل جي ، موتورولا ، نوكيا ، أو سامسونج .
إصدارات
| الإصدار | تاريخ | ملحوظات |
|---|---|---|
| 1.0 | 4 يناير 2022 | تم إصدار النشرة |