กระดานข่าวสารด้านความปลอดภัยของ Android มีรายละเอียดเกี่ยวก��บช่องโหว่ด้านความปลอดภัย ส่งผลต่ออุปกรณ์ Android ระดับแพตช์ความปลอดภัยของ 06-10-2023 หรือหลังจากนั้น จะแก้ไขปัญหาเหล่านี้ได้ทั้งหมด หากต้องการดูวิธีตรวจสอบระดับแพตช์ความปลอดภัยของอุปกรณ์ โปรดดู ตรวจสอบและอัปเดตเวอร์ชัน Android ของคุณ
พาร์ทเนอร์ Android จะได้รับการแจ้งเตือนปัญหาทั้งหมดล่วงหน้าอย่างน้อย 1 เดือน สื่อเผยแพร่ เราได้เผยแพร่แพตช์ซอร์สโค้ดสำหรับปัญหาเหล่านี้ใน Android Open แล้ว ที่เก็บของโปรเจ็กต์ต้นทาง (AOSP) และลิงก์จากกระดานข่าวสารนี้ กระดานข่าวสารนี้ จะมีลิงก์ไปยังแพตช์นอก AOSP ด้วย
การประเมินความรุนแรงจะอิงตามผลกระทบ การแสวงหาประโยชน์จากช่องโหว่ที่อาจเกิดขึ้นได้ ในอุปกรณ์ที่ได้รับผลกระทบ สมมติว่ามีการปิดใช้แพลตฟอร์มและบริการสำหรับการพัฒนา หรือข้ามสำเร็จ
โปรดดูAndroid และ Google Play Protect การผ่อนปรนชั่วคราวสำหรับรายละเอียดเกี่ยวกับ แพลตฟอร์มความปลอดภัยของ Android และ Google Play Protect ซึ่งช่วยปรับปรุงการรักษาความปลอดภัย แพลตฟอร์ม Android
บริการของ Android และ Google การลดความเสี่ยง
นี่คือสรุปการลดความเสี่ยงจาก แพลตฟอร์มความปลอดภัยของ Android และการป้องกันบริการ เช่น Google Play ป้องกัน ความสามารถเหล่า��ี้ช่วยลดแนวโน้����ี่��าร����กษาความปลอดภัย อาจถูกใช้ประโยชน์ได้สำเร็จใน Android
- การแสวงหาประโยชน์จากปัญหามากมายบน Android นั้นทำได้ยากขึ้นโดย การเพิ่มประสิทธิภาพบนแพลตฟอร์ม Android เวอร์ชันใหม่กว่า เราขอแนะนำให้ทุกคน ผู้ใช้ อัปเดตเป็น Android เวอร์ชันล่าสุดหากเป็นไปได้
- ทีมรักษาความปลอดภัยของ Android ตรวจสอบการละเมิดอย่างสม่ำเสมอผ่าน Google Play ปกป้องและเตือนผู้ใช้เกี่ยวกับ มีโอกาส แอปพลิเคชันที่เป็นอันตราย Google Play Protect จะเปิดใช้โดยค่าเริ่มต้นใน อุปกรณ์ กับ Google โทรศัพท์เคลื่อนที่ บริการและมีความสำคัญอย่างยิ่งสำหรับผู้ใช้ที่ติดตั้งแอปจาก นอก Google Play
01-10-2023 รายละเอียดช่องโหว่ระดับแพตช์ความปลอดภัย
ในส่วนด้านล่าง เราจะให้รายละเอียดเกี่ยวกับความปลอดภัยแต่ละรายการ ช่องโหว่ที่เกี่ยวข้องกับระดับแพตช์ 2023-10-01 ระบบจะจัดกลุ่มช่องโหว่ไว้ภายใต้คอมโพเนนต์ที่ได้รับผลกระทบ เราได้อธิบายปัญหาไว้ในตารางด้านล่าง และรวมรหัส CVE ที่เกี่ยวข้อง ประเภทของช่องโหว่ ความรุนแรง และเวอร์ชัน AOSP ที่อัปเดต (หากมี) เราจะลิงก์การเปลี่ยนแปลงแบบสาธารณะที่แก้ปัญหาไปยัง รหัสข้อบกพร��อง เช่น รายการเปลี่ยนแปลง AOSP เมื่อการเปลี่ยนแปลงหลายรายการเกี่ยวข้องกับข้อบกพร่องเดียว การอ้างอิงเพิ่มเติม ซึ่งลิงก์กับหมายเลขที่ตามหลังรหัสข้อบกพร่อง อุปกรณ์ที่ใช้ Android 10 ขึ้นไปอาจได้รับการอัปเดตความปลอดภัย รวมถึง Google การอัปเดตระบบ Play
เฟรมเวิร์ก
ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจนำไปสู่ การส่งต่อของ โดยไม่จำเป็นต้องใช้สิทธิ์ดำเนินการเพิ่มเติม
| CVE | ข้อมูลอ้างอิง | ประเภท | ความรุนแรง | เวอร์ชัน AOSP ที่อัปเดต |
|---|---|---|---|---|
| CVE-2023-40116 | A-270368476 [2] | EP | สูง | 11, 12, 12 ลิตร |
| CVE-2023-40120 | A-274775190 | EP | สูง | 11, 12, 12 ลิตร, 13 ลิตร |
| CVE-2023-40131 | A-282919145 | EP | สูง | 12, 12 ลิตร, 13 ลิตร |
| CVE-2023-40140 | A-274058082 | EP | สูง | 11, 12, 12 ลิตร, 13 ลิตร |
| CVE-2023-21291 | A-277593270 | รหัส | สูง | 11, 12, 12 ลิตร, 13 ลิตร |
| CVE-2023-40121 | A-224771621 | รหัส | สูง | 11, 12, 12 ลิตร, 13 ลิตร |
| CVE-2023-40134 | A-283101289 | รหัส | สูง | 12, 12 ลิตร, 13 ลิตร |
| CVE-2023-40136 | A-281666022 | รหัส | สูง | 11, 12, 12 ลิตร, 13 ลิตร |
| CVE-2023-40137 | A-281665050 | รหัส | สูง | 11, 12, 12 ลิตร, 13 ลิตร |
| CVE-2023-40138 | A-281534749 | รหัส | สูง | 11, 12, 12 ลิตร, 13 ลิตร |
| CVE-2023-40139 | A-281533566 | รหัส | สูง | 11, 12, 12 ลิตร, 13 ลิตร |
ระบบ
ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจนำไปสู่ การดำเนินการโค้ด (ใกล้เคียง/ใกล้เคียง) โดยไม่มีสิทธิ์ดำเนินการเพิ่มเติม ที่จำเป็น
| CVE | ข้อมูลอ้างอิง | ประเภท | ความรุนแรง | เวอร์ชัน AOSP ที่อัปเดต |
|---|---|---|---|---|
| CVE-2023-40129 | A-273874525 | ใหม่ | วิกฤต | 12, 12 ลิตร, 13 ลิตร |
| CVE-2023-21244 | A-276729064 [2] [3] | EP | สูง | 11, 12, 12 ลิตร, 13 ลิตร |
| CVE-2023-40117 | A-253043065 [2] | EP | สูง | 11, 12, 12 ลิตร, 13 ลิตร |
| CVE-2023-40125 | A-279902472 | EP | สูง | 11, 12, 12 ลิตร, 13 ลิตร |
| CVE-2023-40128 | A-274231102 | EP | สูง | 11, 12, 12 ลิตร, 13 ลิตร |
| CVE-2023-40130 | A-289809991 | EP | สูง | 11, 12, 12 ลิตร, 13 ลิตร |
| CVE-2023-40123 | A-278246904 | รหัส | สูง | 11, 12, 12 ลิตร, 13 ลิตร |
| CVE-2023-40127 | A-262244882 | รหัส | สูง | 11, 12, 12 ลิตร, 13 ลิตร |
| CVE-2023-40133 | A-283264674 | รหัส | สูง | 11, 12, 12 ลิตร, 13 ลิตร |
| CVE-2023-40135 | A-281848557 | รหัส | สูง | 11, 12, 12 ลิตร, 13 ลิตร |
| CVE-2023-21252 | A-275339978 [2] | สิ่งที่ควรทำ | สูง | 11, 12, 12 ลิตร, 13 ลิตร |
| CVE-2023-21253 | A-266580022 [2] [3] | สิ่งที่ควรทำ | สูง | 11, 12, 12 ลิตร, 13 ลิตร |
การอัปเดตระบบ Google Play
ปัญหาต่อไปนี้รวมอยู่ในคอมโพเนนต์ Project Mainline
| องค์ประกอบย่อย | CVE |
|---|---|
| ผู้ให้บริการสื่อ | CVE-2023-40127 |
| Wi-Fi | CVE-2023-21252 |
05-10-2023 รายละเอียดช่องโหว่ระดับแพตช์ความปลอดภัย
ในส่วนด้านล่าง เราจะให้รายละเอียดเกี่ยวกับความปลอดภัยแต่ละรายการ ช่องโหว่ที่เกี่ยวข้องกับระดับแพตช์ 2023-10-05 ระบบจะจัดกลุ่มช่องโหว่ไว้ภายใต้คอมโพเนนต์ที่ได้รับผลกระทบ เราได้อธิบายปัญหาไว้ในตารางด้านล่าง และรวมรหัส CVE ที่เกี่ยวข้อง ประเภทของช่องโหว่ ความรุนแรง และเวอร์ชัน AOSP ที่อัปเดต (หากมี) เราจะลิงก์การเปลี่ยนแปลงแบบสาธารณะที่แก้ปัญหาไปยัง รหัสข้อบกพร่อง เช่น รายการเปลี่ยนแปลง AOSP เมื่อการเปลี่ยนแปลงหลายรายการเกี่ยวข้องกับข้อบกพร่องเดียว การอ้างอิงเพิ่มเติม ซึ่งลิงก์กับหมายเลขที่ตามหลังรหัสข้อบกพร่อง
ส่วนประกอบของแขน
ช่องโหว่เหล่านี้มีผลต่อคอมโพเนนต์ Arm และม��รายละเอียดเพิ่มเติม จาก Arm ได้โดยตรง มีการประเมินความรุนแรงของป����หา���หล่านี้ โดย Arm โดยตรง
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | องค์ประกอบย่อย |
|---|---|---|---|
| CVE-2021-44828 | A-296461583 * | สูง | มาลี |
| CVE-2022-28348 | A-296463357 * | สูง | มาลี |
| CVE-2023-4211 | A-294605494 * | สูง | มาลี |
| CVE-2023-33200 | A-287627703 * | สูง | มาลี |
| CVE-2023-34970 | A-287624919 * | สูง | มาลี |
คอมโพเนนต์ของ MediaTek
ช่องโหว่เหล่านี้ส่งผลกระทบต่อคอมโพเนนต์ MediaTek และรายละเอียดเพิ่มเติม ที่มีให้ได้โดยตรงจาก MediaTek MediaTek เป็นผู้ประเมินความรุนแรงของปัญหาเหล่านี้โดยตรง
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | องค์ประกอบย่อย |
|---|---|---|---|
| CVE-2023-20819 | A-294779648
M-MOLY01068234 * |
สูง | โปรโตคอล CDMA PPP |
| CVE-2023-32819 | A-294779649
M-ALPS07993705 * |
สูง | แสดง |
| CVE-2023-32820 | A-294781433
M-ALPS07932637 * |
สูง | เฟิร์มแวร์ wlan |
คอมโพเนนต์ Unisoc
ช่องโหว่นี้ส่งผลต่อคอมโพเนนต์ Unisoc และรายละเอียดเพิ่มเติมมีดังนี้ พร้อมใช้งาน จาก Unisoc โดยตรง โดย Unisoc เป็นผู้ประเมินความรุนแรงของปัญหานี้โดยตรง
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | องค์ประกอบย่อย |
|---|---|---|---|
| CVE-2023-40638 | A-296491611
U-2212107* |
สูง | Android |
คอมโพเนนต์ Qualcomm
ช่องโหว่เหล่านี้ส่งผลกระทบต่อคอมโพเนนต์ Qualcomm และได้มีการอธิบายเพิ่มเติมเกี่ยวกับ ในกระดานข่าวสารด้านความปลอดภัยหรือการแจ้งเตือนด้านความปลอดภัยของ Qualcomm ที่เหมาะสม Qualcomm เป็นผู้ประเมินความรุนแรงของปัญหาเหล่านี้โดยตรง
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | องค์ประกอบย่อย |
|---|---|---|---|
| CVE-2023-33029 | A-290061916
QC-CR#3446314 |
สูง | เคอร์เนล |
| CVE-2023-33034 | A-290060972
QC-CR#3438425 |
สูง | เสียง |
| CVE-2023-33035 | A-290061247
QC-CR#3438021 |
สูง | เสียง |
คอมโพเนนต์โอเพนซอร์สของ Qualcomm
ช่องโหว่เหล่านี้ส่งผลกระทบต่อคอมโพเนนต์แบบปิดของ Qualcomm และ ตามที่อธิบายไว้โดยละเอียดเพิ่มเติมในกระดานข่าวสารด้านความปลอดภัย Qualcomm ที่เหมาะสม หรือ การแจ้งเตือนความปลอดภัย Qualcomm เป็นผู้ประเมินความรุนแรงของปัญหาเหล่านี้โดยตรง
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | องค์ประกอบย่อย |
|---|---|---|---|
| CVE-2023-24855 | A-276750662 * | วิกฤต | คอมโพเนนต์แบบปิด |
| CVE-2023-28540 | A-276751073 * | วิกฤต | คอมโพเนนต์แบบปิด |
| CVE-2023-33028 | A-290060590 * | วิกฤต | คอมโพเนนต์แบบปิด |
| CVE-2023-21673 | A-276750698 * | สูง | คอมโพเนนต์แบบปิด |
| CVE-2023-22385 | A-276750699 * | สูง | คอมโพเนนต์แบบปิด |
| CVE-2023-24843 | A-276750762 * | สูง | คอมโพเนนต์แบบปิด |
| CVE-2023-24844 | A-276750872 * | สูง | คอมโพเนนต์แบบปิด |
| CVE-2023-24847 | A-276751090 * | สูง | คอมโพเนนต์แบบปิด |
| CVE-2023-24848 | A-276750995* | สูง | คอมโพเนนต์แบบปิด |
| CVE-2023-24849 | A-276751370* | สูง | คอมโพเนนต์แบบปิด |
| CVE-2023-24850 | A-276751108 * | สูง | คอมโพเนนต์แบบปิด |
| CVE-2023-24853 | A-276751372 * | สูง | คอมโพเนนต์แบบปิด |
| CVE-2023-33026 | A-290061996 * | สูง | คอมโพเนนต์แบบปิด |
| CVE-2023-33027 | A-290061249 * | สูง | คอมโพเนนต์แบบปิด |
06-10-2023 รายละเอียดช่องโหว่ระดับแพตช์ความปลอดภัย
ในส่วนด้านล่าง เราจะให้รายละเอียดเกี��ยวกับความปลอดภัยแต่ละรายการ ช่องโหว่ที่เกี่ยวข้องกับระดับแพตช์ 2023-10-06 ระบบจะจัดกลุ่มช่องโหว่ไว้ภายใต้คอมโพเนนต์ที่ได้รับผลกระทบ เราได้อธิบายปัญหาไว้ในตารางด้านล่าง และรวมรหัส CVE ที่เกี่ยวข้อง ประเภทของช่องโหว่ ความรุนแรง และเวอร์ชัน AOSP ที่อัปเดต (หากมี) เราจะลิงก์การเปลี่ยนแปลงแบบสาธารณะที่แก้ปัญหาไปยัง รหัสข้อบกพร่อง เช่น รายการเปลี่ยนแปลง AOSP เมื่อการเปลี่ยนแปลงหลายรายการเกี่ยวข้องกับข้อบกพร่องเดียว การอ้างอิงเพิ่มเติม ซึ่งลิงก์กับหมายเลขที่ตามหลังรหัสข้อบกพร่อง
ระบบ
ช่องโหว่ในส่วนนี้อาจนำไปสู่การแสวงหาประโยชน์โดยที่ผู้ใช้ไม่ต้องโต้ตอบ
| CVE | ข้อมูลอ้างอิง | ประเภท | ความรุนแรง | เวอร์ชัน AOSP ที่อัปเดต |
|---|---|---|---|---|
| CVE-2023-4863 | A-299477569 | ใหม่ | วิกฤต | 11, 12, 12 ลิตร, 13 ลิตร |
คำถามที่พบบ่อยและคำตอบ
ส่วนนี้จะตอบคำถามที่พบบ่อยซึ่งอาจเกิดขึ้นหลังจากอ่านข้อความนี้ กระดานข่าวสาร
1. ฉันจะรู้ได้อย่างไรว่าอุปกรณ์ได้รับการอัปเดตเพื่อจัดการปัญหาเหล่านี้ มีปัญหาไหม
หากต้องการดูวิธีตรวจสอบระดับแพตช์ความปลอดภัยของอุปกรณ์ โปรดดู ตรวจสอบและอัปเดตเวอร์ชัน Android ของคุณ
- ระดับแพตช์ความปลอดภัยของที่อยู่ 01-10-2023 หรือหลังจากนั้น ปัญหาทั้งหมดที่เกี่ยวข้องกับแพตช์ความปลอดภัย 2023-10-01
- ระดับแพตช์ความปลอดภัยของที่อยู่ 2023-10-05 หรือหลังจากนั้น ปัญหาทั้งหมดที่เกี่ยวข้องกับแพตช์ความปลอดภัย 2023-10-05 และระดับแพตช์ก่อนหน้าทั้งหมด
- ระดับแพตช์ความปลอดภัยของที่อยู่ในวันที่ 06-10-2023 หรือหลังจากนั้น ปัญหาทั้งหมดที่เกี่ยวข้องกับแพตช์ความปลอดภัย 2023-10-06 และระดับแพตช์ก่อนหน้าทั้งหมด
ผู้ผลิตอุปกรณ์ที่มีการอัปเดตเหล่านี้ควรตั้งค่าสตริงแพตช์ ระดับเป็น:
- [ro.build.version.security_patch]:[01-10-2023]
- [ro.build.version.security_patch]:[05-10-2023]
- [ro.build.version.security_patch]:[06-10-2023]
สำหรับอุปกรณ์บางรุ่นที่ใช้ Android 10 ขึ้นไป ระบบจะอัปเดตระบบ Google Play จะมีสตริงวันที่ที่ตรงกับ 2023-10-01 ระดับแพตช์ความปลอดภัย โปรดอ่านบทความนี้เพื่อดูรายละเอียดเพิ่มเติม จำนวนการติดตั้ง การอัปเดตความปลอดภัย
2. เหตุใดกระดานข่าวสารนี้มีแพตช์ความปลอดภัย 3 ระดับ
กระดานข่าวสารนี้มีระดับแพตช์ความปลอดภัย 3 ระดับเพื่อให้พาร์ทเนอร์ของ Android มี ความยืดหยุ่นในการแก้ไขช่องโหว่ย่อยที่คล้ายคลึงกันใน อุปกรณ์ Android ได้รวดเร็วยิ่งขึ้น พาร์ทเนอร์ Android ขอแนะนำให้แก้ไขทั้งหมด ปัญหาในกระดานข่าวสารนี้และใช้ระดับแพตช์ความปลอดภัยล่าสุด
- อุปกรณ์ที่ใช้ระดับแพตช์ความปลอดภัย 2023-10-01 ต้องมีปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัยนั้นด้วย ในฐานะ แก้ไขปัญหาทั้งหมดที่รายงานในกระดานข่าวสารด้านความปลอดภัยก่อนหน้านี้
- อุปกรณ์ที่ใช้ระดับแพตช์ความปลอดภัย 2023-10-05 ขึ้นไปต้องมีแพตช์ที่เกี่ยวข้องทั้งหมดในการรักษาความปลอดภัยนี้ (และก่อนหน้านี้) กระดานข่าวสาร
- อุปกรณ์ที่ใช้ระดับแพตช์ความปลอดภัย 2023-10-06 ขึ้นไปต้องมีแพตช์ที่เกี่ยวข้องทั้งหมดในการรักษาความปลอดภัยนี้ (และก่อนหน้านี้) กระดานข่าวสาร
พาร์ทเนอร์ควรรวมการแก้ไขปัญหาทั้งหมดไว้ด้วยกัน ด้วยการอัปเดตเพียงครั้งเดียว
3. รายการในคอลัมน์ประเภทหมายความว่าอย่างไร
รายการในคอลัมน์ประเภทของตารางรายละเอียดช่องโหว่ ให้อ้างอิงการจัดประเภทช่องโหว่ด้านความปลอดภัย
| ตัวย่อ | คำจำกัดความ |
|---|---|
| ใหม่ | การดำเนินการกับโค้ดจากระยะไกล |
| EP | การยกระดับสิทธิ์ |
| รหัส | การเปิดเผยข้อมูล |
| สิ่งที่ควรทำ | ปฏิเสธการให้บริการ |
| ไม่มี | ไม่มีการแยกประเภท |
4. รายการในคอลัมน์ข้อมูลอ้างอิงคืออะไร
รายการในคอลัมน์ข้อมูลอ้างอิงของรายละเอียดช่องโหว่ ตารางอาจมีคำนำหน้าที่ระบุองค์กรซึ่ง ข้อมูลอ้างอิง มีค่าเป็นของ Google
| คำนำหน้า | ข้อมูลอ้างอิง |
|---|---|
| A- | รหัสข้อบกพร่องของ Android |
| QC- | หมายเลขอ้างอิง Qualcomm |
| จ- | หมายเลขอ้างอิง MediaTek |
| น. | หมายเลขอ้างอิง NVIDIA |
| B- | หมายเลขอ้างอิง Broadcom |
| U- | หมายเลขอ้างอิง UNISOC |
5. เครื่องหมาย * ข้างรหัสข้อบกพร่องของ Android ในข้อมูลอ้างอิงคืออะไร จะหมายถึงอะไร
ปัญหาที่ไม่ได้เผยแพร่ต่อสาธารณะจะมีเครื่องหมาย * อยู่ถัดจากเนื้อหาที่เกี่ยวข้อง รหัสอ้างอิง การอัปเดตสำหรับปัญหาดังกล่าวมักเป็นของ ไดรเวอร์ไบนารีของอ��ปกรณ์ Pixel ที่พร้อมใช้งานจาก Google เว็บไซต์ของนักพัฒนาซอฟต์แวร์
6. เหตุใดช่องโหว่ด้านความปลอดภัยจึงแบ่งระหว่างกระดานข่าวสารนี้กับ กระดานข่าวสารด้านความปลอดภัยของอุปกรณ์ / พาร์ทเนอร์ เช่น กระดานข่าวสาร Pixel
ช่องโหว่ด้านความปลอดภัยที่ระบุในกระดานข่าวสารด้านความปลอดภัยนี้คือ ที่จำเป็นต่อการประกาศระดับแพตช์ความปลอดภัยล่าสุดใน Android อุปกรณ์ ช่องโหว่ด้านความปลอดภัยอื่นๆ ที่ระบุในเอกสาร ไม่จำเป็นต้องมีกระดานข่าวสารด้านความปลอดภัยของอุปกรณ์ / พาร์ทเนอร์สำหรับ ประกาศระดับแพตช์ความปลอดภัย ผู้ผลิตอุปกรณ์และชิปเซ็ต Android อาจเผยแพร่รายละเอียดช่องโหว่ ด้านความปลอดภัยของผลิตภัณฑ์ เช่น Google Huawei LGE Motorola Nokia หรือ Samsung
เวอร์ชัน
| เวอร์ชัน | วันที่ | หมายเหตุ |
|---|---|---|
| 1.0 | 2 ตุลาคม 2023 | เผยแพร่กระดานข่าวสารแล้ว |