กระดานข่าวสารด้านความปลอดภัยของ Android มีรายละเอียดเกี่ยวกับช่องโหว่ด้านความปลอดภัย ส่งผลต่ออุปกรณ์ Android ระดับแพตช์ความปลอดภัยของ 05-03-2024 หรือใหม่กว่าจะแก้ไขปัญหาเหล่านี้ได้ทั้งหมด หากต้องการดูวิธีตรวจสอบระดับแพตช์ความปลอดภัยของอุปกรณ์ โปรดดู ตรวจสอบและอัปเดตเวอร์ชัน Android ของคุณ
พาร์ทเนอร์ Android จะได้รับการแจ้งเตือนปัญหาทั้งหมดล่วงหน้าอย่างน้อย 1 เดือน สื่อเผยแพร่ เราได้เผยแพร่แพตช์ซอร์สโค้ดสำหรับปัญหาเหล่านี้ใน Android Open แล้ว ที่เก็บของโปรเจ็กต์ต้นทาง (AOSP) และลิงก์จากกระดานข่าวสารนี้ กระดานข่าวสารนี้ จะมีลิงก์ไปยังแพตช์นอก AOSP ด้วย
ปัญหาร้ายแรงที่สุดคือช่องโหว่ด้านความปลอดภัยที่ร้ายแรงใน คอมโพเนนต์ของระบบที่อาจทําให้เกิดการดำเนินการโค้ดระยะไกลโดยไม่เพิ่ม ต้องมีสิทธิ์ในการดำเนินการ การประเมินความรุนแรงจะอิงตามผลกระทบ การแสวงหา��ระโยชน์จากช่องโหว่ที่อาจเกิดขึ้นได้ ในอุปกรณ์ที่ได้รับผลกระทบ สมมติว่ามีการปิดใช้แพลตฟอร์มและบริการสำหรับการพัฒนา หรือข้ามสำเร็จ
โปรดดูAndroid และ Google Play Protect การผ่อนปรนชั่วคราวสำหรับรายละเอียดเกี่ยวกับ แพลตฟอร์มความปลอดภัยของ Android การป้องกัน และ Google Play Protect ซึ่งปรับปรุง การรักษาความปลอดภัยของแพลตฟอร์ม Android
บริการของ Android และ Google การลดความเสี่ยง
นี่คือสรุปการล��ความเสี่ยงจาก แพลตฟอร์มความปลอดภัยของ Android และการป้องกันบริการ เช่น Google Play Protect ความสามารถเหล่านี้ช่วยลด ความเป็นไปได้ที่ช่องโหว่ด้านความปลอดภัยใน Android อาจถูกใช้ประโยชน์ได้สำเร็จ
- การแสวงหาประโยชน์จากปัญหามากมายบน Android นั้นทำได้ยากขึ้นโดย การเพิ่มประสิทธิภาพบนแพลตฟอร์ม Android เวอร์ชันใหม่กว่า เราขอแนะนำให้ทุกคน ผู้ใช้ อัปเดตเป็น Android เวอร์ชันล่าสุดหากเป็นไปได้
- ทีมรักษาความปลอดภัยของ Android ตรวจสอบการละเมิดอย่างสม่ำเสมอผ่าน Google Play ปกป้องและเตือนผู้ใช้เกี่ยวกับ มีโอกาส แอปพลิเคชันที่เป็นอันตราย Google Play Protect จะเปิดใช้โดยค่าเริ่มต้นใน อุปกรณ์ กับ Google โทรศัพท์เคลื่อนที่ บริการและมีความสำคัญอย่างยิ่งสำหรับผู้ใช้ที่ติดตั้งแอปจาก นอก Google Play
01-03-2024 รายละเอียดช่องโหว่ระดับแพตช์ความปลอดภัย
ในส่วนด้านล่าง เราจะให้รายละเอียดเกี่ยวกับความปลอดภัยแต่ละรายการ ช่องโหว่ที่เกี่ยวข้องก��บระดับแพตช์ 2024-03-01 ระบบจะจัดกลุ่มช่องโหว่ไว้ภายใต้คอมโพเนนต์ที่ได้รับผลกระทบ เราได้อธิบายปัญหาไว้ในตารางด้านล่าง และรวมรหัส CVE ที่เกี่ยวข้อง ประเภทของช่องโหว่ ความรุนแรง และเวอร์ชัน AOSP ที่อัปเดต (หากมี) เราจะลิงก์การเปลี่ยนแปลงแบบสาธารณะที่แก้ปัญหาไปยัง รหัสข้อบกพร่อง เช่น รายการเปลี่ยนแปลง AOSP เมื่อการเปลี่ยนแปลงหลายรายการเกี่ยวข้องกับข้อบกพร่องเดียว การอ้างอิงเพิ่มเติม ซึ่งลิงก์กับหมายเลขที่ตามหลังรหัสข้อบกพร่อง อุปกรณ์ที่ใช้ Android 10 ขึ้นไปอาจได้รับการอัปเดตความปลอดภัย รวมถึง Google เล่น การอัปเดตระบบ
เฟรมเวิร์ก
ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจนำไปสู่การส่งต่อปัญหาในท้องถิ่น โดยไม่ต้องมีสิทธิ์ดำเนินการเพิ่มเติม
| CVE | ข้อมูลอ้างอิง | ประเภท | ความรุนแรง | เวอร์ชัน AOSP ที่อัปเดต |
|---|---|---|---|---|
| CVE-2024-0046 | A-299441833 | EP | สูง | 12, 12, 13, 14 |
| CVE-2024-0048 | A-316893159 | EP | สูง | 12, 12, 13, 14 |
| CVE-2024-0049 | A-273936274 | EP | สูง | 12, 12, 13, 14 |
| CVE-2024-0050 | A-273935108 | EP | สูง | 12, 12, 13, 14 |
| CVE-2024-0051 | A-276442130 | EP | สูง | 12, 12, 13, 14 |
| CVE-2024-0053 | A-281525042 | รหัส | สูง | 12, 12, 13, 14 |
| CVE-2024-0047 | A-311687929 [2] [3] | สิ่งที่ควรทำ | สูง | 14 |
ระบบ
ช่องโหว่ที่ร้ายแรงที่สุดในส่วนนี้อาจนำไปสู่โค้ดระยะไกล โดยไม่จำเป็นต้องมีสิทธิ์ดำเนินการเพิ่มเติม
| CVE | ข้อมูลอ้างอิง | ประเภท | ความรุนแรง | เวอร์ชัน AOSP ที่อัปเดต |
|---|---|---|---|---|
| CVE-2024-0039 | A-295887535 [2] [3] | ใหม่ | วิกฤต | 12, 12, 13, 14 |
| CVE-2024-23717 | A-318374503 | EP | วิกฤต | 12, 12, 13, 14 |
| CVE-2023-40081 | A-284297452 | รหัส | สูง | 12, 12, 13, 14 |
| CVE-2024-0045 | A-300903400 | รหัส | สูง | 12, 12, 13, 14 |
| CVE-2024-0052 | A-303871379 | รหัส | สูง | 14 |
การอัปเดตระบบ Google Play
ไม่มีปัญหาด้านความปลอดภัยที่ระบุในการอัปเดตระบบของ Google Play (Project Mainline) ในเดือนนี้
05-03-2024 รายละเอียดช่องโหว่ระดับแพตช์ความปลอดภัย
ในส่วนด้านล่าง เราจะให้รายละเอียดเกี่ยวกับความปลอดภัยแต่ละรายการ ช่องโหว่ที่เกี่ยวข้องกับระดับแพตช์ 2024-03-05 ระบบจะจัดกลุ่มช่องโหว่ไว้ภายใต้คอมโพเนนต์ที่ได้รับผลกระทบ เราได้อธิบายปัญหาไว้ในตารางด้านล่าง และรวมรหัส CVE ที่เกี่ยวข้อง ประเภทของช่องโหว่ ความรุนแรง และเวอร์ชัน AOSP ที่อัปเดต (หากมี) เราจะลิงก์การเปลี่ยนแปลงแบบสาธารณะที่แก้ปัญหาไปยัง รหัสข้อบกพร่อง เช่น รายการเปลี่ยนแปลง AOSP เมื่อการเปลี่ยนแปลงหลายรายการเกี่ยวข้องกับข้อบกพร่องเดียว การอ้างอิงเพิ่มเติม ซึ่งลิงก์กับหมายเลขที่ตามหลังรหัสข้อบกพร่อง
AMLogic
ช่องโหว่เหล่านี้ส่งผลต่อคอมโพเนนต์ AMLogic และรายละเอียดเพิ่มเติมมีดังนี้ จาก AMLogic โดยตรง AMLogic เป็นผู้ประเมินความรุนแรงของปัญหาโดยตรง
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | องค์ประกอบย่อย |
|---|---|---|---|
| CVE-2023-48424 |
A-315373062 * | สูง | Bootloader |
| CVE-2023-48425 |
A-319132171 * | สูง | Bootloader |
ส่วนประกอบของแขน
ช่องโหว่เหล่านี้มีผลต่อคอมโพเนนต์ Arm และมีรายละเอียดเพิ่มเติม จาก Arm ได้โดยตรง โดย Arm เป็นผู้ประเมินความรุนแรงของปัญหาเหล่านี้โดยตรง
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | องค์ประกอบย่อย |
|---|---|---|---|
| CVE-2023-6143 |
A-316197619 * | สูง | มาลี |
| CVE-2023-6241 |
A-316206835 * | สูง | มาลี |
คอมโพเนนต์ของ MediaTek
ช่องโหว่เหล่านี้ส่งผลกระทบต่อคอมโพเนนต์ MediaTek และรายละเอียดเพิ่มเติม ที่มีให้ได้โดยตรงจาก MediaTek MediaTek เป็นผู้ประเมินความรุนแรงของปัญหาเหล่านี้โดยตรง
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | องค์ประกอบย่อย |
|---|---|---|---|
| CVE-2024-20005 |
A-318303317
M-ALPS08355599 * |
สูง | da |
| CVE-2024-20022 |
A-318302377
M-ALPS08528255 * |
สูง | LK |
| CVE-2024-20023 |
A-318302378
M-ALPS08541638 * |
สูง | Flashc |
| CVE-2024-20024 |
A-318316114
M-ALPS08541635 * |
สูง | Flashc |
| CVE-2024-20025 |
A-318316115
M-ALPS08541686 * |
สูง | da |
| CVE-2024-20027 |
A-318316117
M-ALPS08541632 * |
สูง | da |
| CVE-2024-20028 |
A-318310276
M-ALPS08541632 * |
สูง | da |
| CVE-2024-20020 |
A-318302372
M-ALPS08522504 * |
สูง | ออปที |
| CVE-2024-20026 |
A-318310274
M-ALPS08541632 * |
สูง | da |
คอมโพเนนต์ Qualcomm
ช่องโหว่เหล่านี้ส่งผลกระทบต่อคอมโพเนนต์ Qualcomm และได้มีการอธิบายเพิ่มเติมเกี่ยวกับ ในกระดานข่าวสารด้านความปลอดภัยหรือการแจ้งเตือนด้านความปลอดภัยของ Qualcomm ที่เหมาะสม Qualcomm เป็นผู้ประเมินความรุนแรงของปัญหาเหล่านี้โดยตรง
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | องค์ประกอบย่อย |
|---|---|---|---|
| CVE-2023-43546 |
A-314790498
QC-CR#3602482 |
สูง | ความปลอดภัย |
| CVE-2023-43547 |
A-314791076
QC-CR#3602462 [2] |
สูง | ความปลอดภัย |
| CVE-2023-43550 |
A-314791623
QC-CR#3595842 |
สูง | เคอร์เนล |
| CVE-2023-43552 |
A-314791054
QC-CR#3583521 |
สูง | WLAN |
| CVE-2023-43553 |
A-314791341
QC-CR#3580821 |
สูง | WLAN |
คอมโพเนนต์โอเพนซอร์สของ Qualcomm
ช่องโหว่เหล่านี้ส่งผลกระทบต่อคอมโพเนนต์แบบปิดของ Qualcomm และ ตามที่อธิบายไว้โดยละเอียดเพิ่มเติมในกระดานข่าวสารด้านความปลอดภัย Qualcomm ที่เหมาะสม หรือ การแจ้งเตือนความปลอดภัย Qualcomm เป็นผู้ประเมินความรุนแรงของปัญหาเหล่านี้โดยตรง
| CVE | ข้อมูลอ้างอิง | ความรุนแรง | องค์ประกอบย่อย |
|---|---|---|---|
| CVE-2023-28578 |
A-285902353 * | วิกฤต | คอมโพเนนต์แบบปิด |
| CVE-2023-33042 |
A-295039320 * | สูง | คอมโพเนนต์แบบปิด |
| CVE-2023-33066 |
A-303101493 * | สูง | คอมโพเนนต์แบบปิด |
| CVE-2023-33105 |
A-314790953 * | สูง | คอมโพเนนต์แบบปิด |
| CVE-2023-43539 |
A-314791241 * | สูง | คอมโพเนนต์แบบปิด |
| CVE-2023-43548 |
A-314790932 * | สูง | คอมโพเนนต์แบบปิด |
| CVE-2023-43549 |
A-314791266 * | สูง | คอมโพเนนต์แบบปิด |
คำถามที่พบบ่อยและคำตอบ
ส่วนนี้จะตอบคำถามที่พบบ่อยซึ่งอาจเกิดขึ้นหลังจากอ่านข้อความนี้ กระดานข่าวสาร
1. ฉันจะรู้ได้อย่างไรว่าอุปกรณ์ได้รับการอัปเดตเพื่อจัดการปัญหาเหล่านี้ มีปัญหาไหม
หากต้องการดูวิธีตรวจสอบระดับแพตช์ความปลอดภัยของอุปกรณ์ โปรดดู ตรวจสอบและอัปเดตเวอร์ชัน Android ของคุณ
- ระดับแพตช์ความปลอดภัยของที่อยู่ 01-03-2024 หรือหลังจากนั้น ปัญหาทั้งหมดที่เกี่ยวข้องกับแพตช์ความปลอดภัย 2024-03-01
- ระดับแพตช์ความปลอดภัยของที่อยู่ 05-03-2024 หรือหลังจากนั้น ปัญหาทั้งหมดที่เกี่ยวข้องกับแพตช์ความปลอดภัย 2024-03-05 และระดับแพตช์ก่อนหน้าทั้งหมด
ผู้ผลิตอุปกรณ์ที่มีการอัปเดตเหล่านี้ควรตั้งค่าสตริงแพตช์ ระดับเป็น:
- [ro.build.version.security_patch]:[01-03-2024]
- [ro.build.version.security_patch]:[05-03-2024]
สำหรับอุปกรณ์บางรุ่นที่ใช้ Android 10 ขึ้นไป ระบบจะอัปเดตระบบ Google Play จะมีสตริงวันที่ที่ตรงกับ 2024-03-01 ระดับแพตช์ความปลอดภัย โปรดอ่านบทความนี้เพื่อดูรายละเอียดเพิ่มเติม ติดตั้งการอัปเดตความปลอดภัย
2. เหตุใดกระดานข่าวสารนี้มีแพตช์ความปลอดภัย 2 ระดับ
กระดานข่าวสารนี้มีระดับแพตช์ความปลอดภัย 2 ระดับเพื่อให้พาร์ทเนอร์ของ Android มี เวลา ความยืดหยุ่นในการแก้ไขช่องโหว่บางข้อที่คล้ายคลึงกัน อุปกรณ์ Android ได้รวดเร็วยิ่งขึ้น พาร์ทเนอร์ Android ขอแนะนำให้แก้ไขทั้งหมด ปัญหา ในกระดานข่าวสารนี้และใช้ระดับแพตช์ความปลอดภัยล่าสุด
- อุปกรณ์ที่ใช้ระดับแพตช์ความปลอดภัย 2024-03-01 ต้องมีปัญหาทั้งหมดที่เกี่ยวข้องกับระดับแพตช์ความปลอดภัยนั้นด้วย ในฐานะ แก้ไขปัญหาทั้งหมดที่รายงานในกระดานข่าวสารด้านความปลอดภัยก่อนหน้านี้
- อุปกรณ์ที่ใช้ระดับแพตช์ความปลอดภัย 2024-03-05 ขึ้นไปต้องมีแพตช์ที่เกี่ยวข้องทั้งหมดในการรักษาความปลอดภัยนี้ (และก่อนหน้านี้) กระดานข่าวสาร
พาร์ทเนอร์ควรรวมการแก้ไขปัญหาทั้งหมดไว้ด้วยกัน ด้วยการอัปเดตเพียงครั้งเดียว
3. รายการในคอลัมน์ประเภทหมายความว่าอย่างไร
รายการในคอลัมน์ประเภทของตารางรายละเอียดช่องโหว่ ให้อ้างอิงการจัดประเภทช่องโหว่ด้านความปลอดภัย
| ตัวย่อ | คำจำกัดความ |
|---|---|
| ใหม่ | การดำเนินการกับโค้ดจากระยะไกล |
| EP | การยกระดับสิทธิ์ |
| รหัส | การเปิดเผยข้อมูล |
| สิ่งที่ควรทำ | ปฏิเสธการให้บริการ |
| ไม่มี | ไม่มีการแยกประเภท |
4. รายการในคอลัมน์ข้อมูลอ้างอิงคืออะไร
รายการในคอลัมน์ข้อมูลอ้างอิงของรายละเอียดช่องโหว่ ตารางอาจมีคำนำหน้าที่ระบุองค์กรซึ่ง ข้อมูลอ้างอิง มีค่าเป็นของ Google
| คำนำหน้า | ข้อมูลอ้างอิง |
|---|---|
| A- | รหัสข้อบกพร่องของ Android |
| QC- | หมายเลขอ้างอิง Qualcomm |
| จ- | หมายเลขอ้างอิง MediaTek |
| น. | หมายเลขอ้างอิง NVIDIA |
| B- | หมายเลขอ้างอิง Broadcom |
| U- | หมายเลขอ้างอิง UNISOC |
5. เครื่องหมาย * ข้างรหัสข้อบกพร่องของ Android ในข้อมูลอ้างอิงคืออะไร จะหมายถึงอะไร
ปัญหาที่ไม่ได้เผยแพร่ต่อสาธารณะจะมีเครื่องหมาย * อยู่ถัดจากเนื้อหาที่เกี่ยวข้อง รหัสอ้างอิง การอัปเดตสำหรับปัญหาดังกล่าวมักเป็นของ ไดรเวอร์ไบนารีของอุปกรณ์ Pixel ที่พร้อมใช้งานจาก Google เว็บไซต์ของนักพัฒนาซอฟต์แวร์
6. เหตุใดช่องโหว่ด้านความปลอดภัยจึงแบ่งระหว่างกระดานข่าวสารนี้กับ กระดานข่าวสารด้านความปลอดภัยของอุปกรณ์ / พาร์ทเนอร์ เช่น กระดานข่าวสาร Pixel
ช่องโหว่ด้านความปลอดภัยที่ระบุในกระดานข่าวสารด้านความปลอดภัยนี้คือ ที่จำเป็นต่อการประกาศระดับแพตช์ความปลอดภัยล่าสุดใน Android อุปกรณ์ ช่องโหว่ด้านความปลอดภัยอื่นๆ ที่ระบุในเอกสาร ไม่จำเป็นต้องมีกระดานข่าวสารด้านความปลอดภัยของอุปกรณ์ / พาร์ทเนอร์สำหรับ ประกาศระดับแ���ตช์ความปลอดภัย ผู้ผลิตอุปกรณ์และชิปเซ็ต Android อาจเผยแพร่รายละเอียดช่องโหว่ ด้านความปลอดภัยของผลิตภัณฑ์ เช่น Google Huawei LGE Motorola Nokia หรือ Samsung
เวอร์ชัน
| เวอร์ชัน | วันที่ | หมายเหตุ |
|---|---|---|
| 1.0 | 4 มีนาคม 2024 | เผยแพร่กระดานข่าวสารแล้ว |
| 1.1 | 29 กรกฎาคม 2024 | อัปเดตตาราง CVE แล้ว |