Biuletyn aktualizacji systemu operacyjnego Android Automotive (AAOS) zawiera szczegółowe informacje o lukach w zabezpieczeniach, które mają wpływ na platformę Android Automotive OS. Pełna aktualizacja AAOS obejmuje poziom aktualizacji zabezpieczeń z 5 lipca 2022 r. lub nowszy z Biuletynu bezpieczeństwa w Androidzie z lipca 2022 r. oraz wszystkie problemy opisane w tym biuletynie.
Zachęcamy wszystkich klientów do zaakceptowania tych aktualizacji na swoich urządzeniach.
Najpoważniejszy z tych problemów to luka w zabezpieczeniach o wysokim poziomie ważności w komponencie AAOS, która może . Ocena poziomu ważności opiera się na wpływie, jaki wykorzystanie luki w zabezpieczeniach może mieć na urządzenie, przy założeniu, że środki zaradcze platformy i usługi są wyłączone na potrzeby programowania lub zostały skutecznie ominięte.
Ogłoszenia
- Oprócz luk w zabezpieczeniach opisanych w Biuletynie bezpieczeństwa w Androidzie z lipca 2022 r. Biuletyn aktualizacji systemu operacyjnego Android Automotive z lipca 2022 r. zawiera też poprawki dotyczące luk w zabezpieczeniach AAOS opisanych poniżej.
Szczegóły dotyczące luk w zabezpieczeniach na poziomie aktualizacji zabezpieczeń z 1 lipca 2022 r.
W sekcjach poniżej znajdziesz szczegółowe informacje o każdej luce w zabezpieczeniach, która dotyczy poziomu aktualizacji zabezpieczeń z 1 lipca 2022 r. Luki w zabezpieczeniach są pogrupowane według komponentu, na który mają wpływ. Problemy są opisane w tabelach poniżej i zawierają identyfikator CVE, powiązane numery referencyjne, typ luki w zabezpieczeniach, poziom ważności i zaktualizowane wersje AOSP (w stosownych przypadkach). W przypadku dostępności linkujemy publiczną zmianę, która rozwiązała problem, z identyfikatorem błędu, np. listą zmian AOSP. Jeśli kilka zmian dotyczy jednego błędu, dodatkowe odwołania są powiązane z numerami następującymi po identyfikatorze błędu. Urządzenia z Androidem 10 i nowszym mogą otrzymywać aktualizacje zabezpieczeń oraz aktualizacje systemowe Google Play.
AAOS
Najpoważniejsza luka w zabezpieczeniach w tej sekcji może prowadzić do lokalnego podniesienia uprawnień bez konieczności uzyskania dodatkowych uprawnień do wykonywania.
| CVE | Numer referencyjny | Typ | Poziom ważności | Zaktualizowane wersje AOSP |
|---|---|---|---|---|
| CVE-2022-20234 | A-225189301 | Identyfikator | Wysoki | 12L |
| CVE-2022-20212 | A-182282630 | EoP | Umiarkowana | 10, 11 |
Częste pytania i odpowiedzi
W tej sekcji znajdziesz odpowiedzi na najczęstsze pytania, które mogą się pojawić po przeczytaniu tego biuletynu.
1. Jak sprawdzić, czy moje urządzenie jest zaktualizowane pod kątem tych problemów?
Aby dowiedzieć się, jak sprawdzić poziom aktualizacji zabezpieczeń urządzenia, przeczytaj instrukcje w harmonogramie aktualizacji urządzeń Google.
- Poziomy aktualizacji zabezpieczeń z 1 lipca 2022 r. lub nowsze rozwiązują wszystkie problemy związane z poziomem aktualizacji zabezpieczeń z 1 lipca 2022 r.
Producenci urządzeń, którzy uwzględniają te aktualizacje, powinni ustawić poziom ciągu poprawek na:
- [ro.build.version.security_patch]:[2022-07-01]
W przypadku niektórych urządzeń z Androidem 10 lub nowszym aktualizacja systemowa Google Play będzie zawierać ciąg daty zgodny z poziomem aktualizacji zabezpieczeń z 1 lipca 2022 r. Więcej informacji o instalowaniu aktualizacji zabezpieczeń znajdziesz w tym artykule.
2. Co oznaczają wpisy w kolumnie Typ?
Wpisy w kolumnie Typ w tabeli szczegółów dotyczących luk w zabezpieczeniach odwołują się do klasyfikacji luki w zabezpieczeniach.
| Skrót | Definicja |
|---|---|
| RCE | Zdalne wykonanie kodu |
| EoP | Podniesienie uprawnień |
| ID | Ujawnienie informacji |
| DoS | Atak typu DoS |
| Nie dotyczy | Klasyfikacja niedostępna |
3. Co oznaczają wpisy w kolumnie Numer referencyjny?
Wpisy w kolumnie Numer referencyjny w tabeli szczegółów dotyczących luk w zabezpieczeniach mogą zawierać prefiks identyfikujący organizację, do której należy numer referencyjny.
| Prefiks | Odniesienie |
|---|---|
| A- | Identyfikator błędu Androida |
| QC- | Numer referencyjny firmy Qualcomm |
| M- | Numer referencyjny firmy MediaTek |
| N- | Numer referencyjny firmy NVIDIA |
| B- | Numer referencyjny firmy Broadcom |
| U- | Numer referencyjny firmy UNISOC |
4. Co oznacza gwiazdka (*) obok identyfikatora błędu Androida w kolumnie Numer referencyjny ?
Problemy, które nie są dostępne publicznie, mają gwiazdkę obok odpowiedniego identyfikatora referencyjnego. Aktualizacja rozwiązująca ten problem jest zwykle zawarta w najnowszych sterownikach binarnych dla urządzeń Pixel dostępnych na stronie Google Developers.
5. Dlaczego luki w zabezpieczeniach są podzielone między ten biuletyn a biuletyny o zabezpieczeniach urządzeń i partnerów, takie jak biuletyn Pixela?
Luki w zabezpieczeniach udokumentowane w tym biuletynie o zabezpieczeniach wymagają deklarowania najnowszego poziomu aktualizacji zabezpieczeń na urządzeniach z Androidem. Dodatkowe luki w zabezpieczeniach udokumentowane w biuletynach o zabezpieczeniach urządzeń i partnerów nie są wymagane do zadeklarowania poziomu aktualizacji zabezpieczeń. Producenci urządzeń z Androidem i chipsetów mogą też publikować szczegóły dotyczące luk w zabezpieczeniach, które są specyficzne dla ich produktów, np. Google, Huawei, LGE, Motorola, Nokia czy Samsung.
Wersje
| Wersja | Data | Uwagi |
|---|---|---|
| 1.1 | 6 lipca 2022 r. | Opublikowano biuletyn |