Bollettino di aggiornamento del sistema operativo Android Automotive - gennaio 2022

Pubblicato il 4 gennaio 2022

Il bollettino di aggiornamento del sistema operativo Android Automotive (AAOS) contiene dettagli sulle vulnerabilità di sicurezza che interessano la piattaforma del sistema operativo Android Automotive. L'aggiornamento completo AAOS comprende il livello di patch di sicurezza del 2022/01/05 o poi dal gennaio 2022 Android Security Bulletin in aggiunta a tutte le questioni in questo bollettino.

Incoraggiamo tutti i clienti ad accettare questi aggiornamenti sui propri dispositivi.

Il più grave di questi problemi è un'elevata vulnerabilità di sicurezza nel componente AAOS che potrebbe consentire a un'applicazione dannosa locale di ottenere l'accesso a privilegi aggiuntivi a causa di un vice confuso. La valutazione della gravità si basa sull'effetto che sfruttando la vulnerabilità possibilmente avere su un dispositivo interessato, assumendo la piattaforma di servizio e attenuazioni sono disattivati per scopi di sviluppo o aggirati con successo.

Annunci

  • Oltre alle vulnerabilità di sicurezza descritte nell'Android Security Bulletin di gennaio 2022, l'Android Automotive OS Update Bulletin di gennaio 2022 contiene anche patch specifiche per le vulnerabilità AAOS descritte di seguito.

Dettagli sulla vulnerabilità a livello di patch di sicurezza 01/02/2022

Nelle sezioni seguenti, forniamo i dettagli per ciascuna delle vulnerabilità di sicurezza che si applicano al livello di patch 2022-01-01. Le vulnerabilità sono raggruppate in base al componente che interessano. Problemi sono descritti nelle tabelle sottostanti e comprendono CVE ID, i riferimenti associati, tipo di vulnerabilità , la gravità , e le versioni AOSP aggiornati (se del caso). Quando disponibile, colleghiamo la modifica pubblica che ha risolto il problema all'ID del bug, come l'elenco delle modifiche AOSP. Quando più modifiche si riferiscono a un singolo bug, i riferimenti aggiuntivi sono collegati ai numeri che seguono l'ID del bug. I dispositivi con Android 10 e versioni successive possono ricevere gli aggiornamenti di sicurezza, nonché aggiornamenti del sistema Google Play .

AAOS

La vulnerabilità più grave in questa sezione potrebbe consentire a un'applicazione dannosa locale di ottenere l'accesso a privilegi aggiuntivi a causa di un delegato confuso.

CVE Riferimenti Tipo Gravità Versioni AOSP aggiornate
CVE-2021-1035 A-195668284 EoP Alto 10, 12
CVE-2021-1036 A-182812255 EoP Alto 9, 10, 11, 12
CVE-2021-1037 A-162951906 ID Alto 9, 10, 11, 12

Domande e risposte comuni

Questa sezione risponde alle domande comuni che possono sorgere dopo aver letto questo bollettino.

1. Come faccio a determinare se il mio dispositivo è aggiornato per risolvere questi problemi?

Per informazioni su come controllare il livello di patch di sicurezza di un dispositivo, leggere le istruzioni sul programma di aggiornamento del dispositivo di Google .

  • I livelli di patch di sicurezza di 2022-01-01 o successivi risolvono tutti i problemi associati al livello di patch di sicurezza 2022-01-01.

I produttori di dispositivi che includono questi aggiornamenti dovrebbero impostare il livello della stringa di patch su:

  • [ro.build.version.security_patch]:[2022-01-01]

Per alcuni dispositivi con Android 10 o versioni successive, l'aggiornamento del sistema di Google Play avrà una stringa di data che corrisponde al livello della patch di sicurezza 01/02/2022. Si prega di consultare questo articolo per maggiori dettagli su come installare gli aggiornamenti di sicurezza.

2. Che cosa le voci nella colonna Tipo media?

Le voci nella colonna Tipo di Dettagli della vulnerabilità di riferimento tabella la classificazione della vulnerabilità di sicurezza.

Abbreviazione Definizione
RCE Esecuzione del codice remoto
EoP Elevazione del privilegio
ID Rivelazione di un 'informazione
DoS Negazione del servizio
N / A Classificazione non disponibile

3. Che cosa le voci nella colonna di riferimenti media?

Voci nella colonna Riferimenti della tabella dati vulnerabilità possono contenere un prefisso che identifica l'organizzazione a cui appartiene il valore di riferimento.

Prefisso Riferimento
UN- ID bug Android
QC- Numero di riferimento Qualcomm
M- Numero di riferimento MediaTek
N- Numero di riferimento NVIDIA
B- Numero di riferimento Broadcom
U- Numero di riferimento UNISOC

4. Che cosa fa un * accanto all'ID bug di Android nei riferimenti colonna di media?

I problemi che non sono disponibili pubblicamente hanno un * accanto all'ID di riferimento corrispondente. L'aggiornamento per questo problema è generalmente contenuta negli ultimi driver binari per dispositivi Pixel disponibili dal sito dello sviluppatore di Google .

5. Perché le vulnerabilità della sicurezza sono suddivise tra questo bollettino e i bollettini sulla sicurezza dei dispositivi/partner, come il bollettino Pixel?

Le vulnerabilità di sicurezza documentate in questo bollettino sulla sicurezza devono dichiarare l'ultimo livello di patch di sicurezza sui dispositivi Android. Ulteriori vulnerabilità di sicurezza documentate nei bollettini sulla sicurezza del dispositivo/partner non sono necessarie per dichiarare un livello di patch di sicurezza. Android produttori di dispositivi e di chipset possono anche pubblicare i dettagli delle vulnerabilità di sicurezza specifici per i loro prodotti, come ad esempio Google , Huawei , LGE , Motorola , Nokia o Samsung .

versioni

Versione Data Appunti
1.0 4 gennaio 2022 Pubblicato il bollettino