Android Automotive OS Update Bulletin – Januar 2022

Veröffentlicht am 4. Januar 2022

Das Android Automotive OS (AAOS) Update Bulletin enthält Details zu Sicherheitslücken, die die Android Automotive OS-Plattform betreffen. Der vollständige AAOS Update umfasst den Sicherheitspatch Ebene von 2022.01.05 oder später aus dem Bulletin Android Security Januar 2022 zusätzlich zu allen Fragen in diesem Bulletin.

Wir empfehlen allen Kunden, diese Updates für ihre Geräte zu akzeptieren.

Das schwerwiegendste dieser Probleme ist eine hohe Sicherheitslücke in der AAOS-Komponente, die es einer lokalen bösartigen Anwendung ermöglichen könnte, aufgrund eines verwirrten Stellvertreters Zugriff auf zusätzliche Berechtigungen zu erhalten. Die Bewertung des Schweregrads wird auf die Wirkung aus , dass die Sicherheitsanfälligkeit ausnutzt möglicherweise auf einem betroffenen Gerät haben würde, vorausgesetzt , die Plattform und Service Milderungen sind für Entwicklungszwecke oder wenn erfolgreich umgangen ausgeschaltet.

Ankündigungen

  • Zusätzlich zu den im Android Security Bulletin vom Januar 2022 beschriebenen Sicherheitslücken enthält das Android Automotive OS Update Bulletin vom Januar 2022 auch Patches speziell für AAOS-Sicherheitslücken, wie unten beschrieben.

2022-01-01 Sicherheits-Patch-Level-Schwachstellendetails

In den folgenden Abschnitten stellen wir Details zu den einzelnen Sicherheitslücken bereit, die für die Patch-Stufe 2022-01-01 gelten. Schwachstellen werden nach der Komponente gruppiert, die sie betrifft. Probleme werden in den nachstehenden Tabellen und enthalten CVE - ID zugeordnet Referenzen, beschriebene Art von Verletzlichkeit , Schwere und aktualisierten AOSP Versionen (falls zutreffend). Wenn verfügbar, verknüpfen wir die öffentliche Änderung, die das Problem behoben hat, mit der Fehler-ID, z. B. die AOSP-Änderungsliste. Wenn sich mehrere Änderungen auf einen einzelnen Fehler beziehen, werden zusätzliche Verweise mit Nummern nach der Fehler-ID verknüpft. Geräte mit 10 Android und können später Sicherheitsupdates erhalten sowie Google Play System - Updates .

AAOS

Die schwerwiegendste Schwachstelle in diesem Abschnitt könnte es einer lokalen bösartigen Anwendung ermöglichen, aufgrund eines verwirrten Stellvertreters Zugriff auf zusätzliche Berechtigungen zu erlangen.

CV Verweise Typ Schwere Aktualisierte AOSP-Versionen
CVE-2021-1035 A-195668284 EoP Hoch 10, 12
CVE-2021-1036 A-182812255 EoP Hoch 9, 10, 11, 12
CVE-2021-1037 A-162951906 ICH WÜRDE Hoch 9, 10, 11, 12

Häufige Fragen und Antworten

In diesem Abschnitt werden häufig gestellte Fragen beantwortet, die nach dem Lesen dieses Bulletins auftreten können.

1. Wie kann ich feststellen, ob mein Gerät aktualisiert wurde, um diese Probleme zu beheben?

Um zu erfahren , wie ein Gerät der Sicherheitspatch - Ebene zu überprüfen, die Anweisungen auf dem lesen Google - Gerät Update - Zeitplan .

  • Die Sicherheitspatchstufen vom 01.01.2022 oder höher beheben alle Probleme im Zusammenhang mit der Sicherheitspatchstufe 2022-01-01.

Gerätehersteller, die diese Updates enthalten, sollten die Patch-String-Ebene auf Folgendes festlegen:

  • [ro.build.version.security_patch]:[2022-01-01]

Bei einigen Geräten mit Android 10 oder höher enthält das Google Play-Systemupdate eine Datumszeichenfolge, die der Sicherheitspatchstufe 2022-01-01 entspricht. Bitte beachten Sie diesen Artikel , um weitere Informationen darüber , wie Sicherheits - Updates zu installieren.

2. Was die Einträge in der Spalte Typ Mittelwert tun?

Einträge in der Spalte Typ der Verwundbarkeit Details Tabelle Bezug auf die Klassifizierung des Sicherheitslücke.

Abkürzung Definition
RCE Remotecodeausführung
EoP Erhöhung des Privilegs
ICH WÜRDE Offenlegung von Informationen
DOS Denial of Service
N / A Klassifizierung nicht verfügbar

3. Was die Einträge in der Referenzspalte Mittelwert tun?

Einträge unter den Referenzen Spalte der Verwundbarkeit Details Tabelle können einen Präfix enthalten , die Organisation zu dem der Referenzwert gehört zu identifizieren.

Präfix Bezug
EIN- Android-Fehler-ID
QC- Qualcomm-Referenznummer
M- MediaTek-Referenznummer
N- NVIDIA-Referenznummer
B- Broadcom-Referenznummer
U- UNISOC-Referenznummer

4. Was Spalte Mittelwert ein * nächstes tut ID zum Android Bug in der Literatur?

Ausgaben, die nicht öffentlich verfügbar sind, haben ein * neben der entsprechenden Referenz-ID. Das Update für dieses Problem wird in den neuesten binären Treiber für Pixel - Geräte verfügbar von der allgemein enthaltenen Google Developer - Website .

5. Warum werden Sicherheitslücken zwischen diesem Bulletin und Geräte-/Partner-Sicherheitsbulletins wie dem Pixel-Bulletin aufgeteilt?

Sicherheitslücken, die in diesem Security Bulletin dokumentiert werden, sind erforderlich, um die neueste Sicherheitspatch-Stufe auf Android-Geräten zu deklarieren. Zusätzliche Sicherheitslücken, die in den Geräte-/Partner-Sicherheitsbulletins dokumentiert sind, sind für die Angabe eines Sicherheitspatch-Levels nicht erforderlich. Android - Gerät und Chipsatz - Hersteller kann auch Sicherheitslücke Details speziell auf ihre Produkte, wie zum Beispiel veröffentlicht Google , Huawei , LGE , Motorola , Nokia oder Samsung .

Versionen

Ausführung Datum Anmerkungen
1.0 4. Januar 2022 Bulletin veröffentlicht