ការអាប់ដេតសុវត្ថិភាព Android - បំណះសម្រាប់ចំណុចខ្សោយចំនួន 129 និងចំណុចខ្សោយ Zero-Day ដែលត្រូវបានកេងប្រវ័ញ្ចយ៉ាងសកម្ម

Google បានចេញផ្សាយព្រឹត្តិបត្រសុវត្ថិភាព Android ខែមីនា ឆ្នាំ២០២៦ ដែលរំពឹងទុកយ៉ាងខ្លាំង ដោយផ្តល់នូវការជួសជុលសំខាន់ៗសម្រាប់ចំណុចខ្សោយសុវត្ថិភាពចំនួន ១២៩ នៅទូទាំងប្រព័ន្ធអេកូឡូស៊ី Android។

ការអាប់ដេតដ៏ធំសម្បើមនេះតំណាងឱ្យចំនួនបំណះខ្ពស់បំផុតមួយដែលចេញផ្សាយក្នុងមួយខែក្នុងរយៈពេលប៉ុន្មានឆ្នាំថ្មីៗនេះ។

ការដាក់ឱ្យប្រើប្រាស់ត្រូវបានរៀបចំជាកម្រិតបំណះសុវត្ថិភាពពីរផ្សេងគ្នា គឺ 2026-03-01 និង 2026-03-05 ដែលផ្តល់ឱ្យក្រុមហ៊ុនផលិតឧបករណ៍នូវភាពបត់បែនក្នុងការដាក់ពង្រាយការជួសជុលយ៉ាងឆាប់រហ័សសម្រាប់ចំណុចខ្សោយស្នូលនៃវេទិកា Android មុនពេលដោះស្រាយបញ្ហាជាក់លាក់ផ្នែករឹងស្មុគស្មាញ។

ការគំរាមកំហែងធ្ងន់ធ្ងរបំផុតដែលត្រូវបានដោះស្រាយនៅក្នុងព្រឹត្តិបត្រនេះគឺជាចំណុចខ្សោយ zero-day កម្រិតខ្ពស់ដែលកំពុងត្រូវបានកេងប្រវ័ញ្ចក្នុងការវាយប្រហារមានកំណត់ និងកំណត់គោលដៅ។

ការកេងប្រវ័ញ្ច Zero-Day យ៉ាងសកម្ម៖ CVE-2026-21385

ចំណុចកណ្តាលនៃការអាប់ដេតខែមីនាគឺ CVE-2026-21385 ដែលជាចំណុចខ្សោយ zero-day កម្រិតខ្ពស់ដែលមានទីតាំងនៅក្នុងសមាសធាតុ Qualcomm Display ប្រភពបើកចំហ។

ការវិភាគបច្ចេកទេសបង្ហាញថា បញ្ហានេះកើតចេញពីកំហុស integer overflow ឬ wraparound ដែលបណ្តាលឱ្យខូចអង្គចងចាំអំឡុងពេលតម្រឹមការបែងចែកអង្គចងចាំ។

ក្រុមហ៊ុន Google និង Qualcomm សុទ្ធតែបានបញ្ជាក់ពីសូចនាករនៃការកេងប្រវ័ញ្ចមានកំណត់ និងកំណត់គោលដៅនៃចំណុចខ្សោយនេះនៅក្នុងធម្មជាតិ។

ដោយសារតែចំណុចខ្សោយនៃការខូចខាតអង្គចងចាំនេះស្ថិតនៅក្នុងកម្មវិធីបញ្ជាអេក្រង់ផ្នែករឹង ការកេងប្រវ័ញ្ចដោយជោគជ័យអាចអនុញ្ញាតឱ្យអ្នកគំរាមកំហែងរំលងព្រំដែនសុវត្ថិភាពដ៏តឹងរ៉ឹង និងរៀបចំរចនាសម្ព័ន្ធអង្គចងចាំសំខាន់ៗ។

អ្នកប្រើប្រាស់ដែលដំណើរការឧបករណ៍ Android ដែលមានបន្ទះឈីប Qualcomm ដែលរងផលប៉ះពាល់ប្រឈមមុខនឹងហានិភ័យខ្ពស់ ហើយត្រូវតែផ្តល់អាទិភាពដល់ការអនុវត្តបំណះនេះជាបន្ទាន់។

ក្រៅពី zero-day កម្រិតបំណះ 2026-03-01 ដោះស្រាយកំហុសវេទិកាសំខាន់ៗជាច្រើនដែលមិនតម្រូវឱ្យមានអន្តរកម្មរបស់អ្នកប្រើប្រាស់សម្រាប់អ្នកវាយប្រហារដើម្បីទាញយកប្រយោជន៍។

គ្រោះថ្នាក់បំផុតក្នុងចំណោមទាំងនេះគឺ CVE-2026-0006 ដែលជាចំណុចខ្សោយ Remote Code Execution (RCE) ដែលត្រូវបានរកឃើញនៅក្នុងសមាសភាគប្រព័ន្ធស្នូល។

ប្រសិនបើត្រូវបានទាញយកប្រយោជន៍ដោយជោគជ័យ អ្នកវាយប្រហារពីចម្ងាយអាចដំណើរការកូដព្យាបាទដោយមិនត្រូវការសិទ្ធិប្រតិបត្តិបន្ថែមណាមួយឡើយ។

លើសពីនេះ សមាសភាគ Android Framework បានទទួលបំណះសម្រាប់ CVE-2026-0047 ដែលជាចំណុចខ្សោយ Elevation of Privilege (EoP) ដ៏សំខាន់។

ចំណុចខ្សោយ EoP ត្រូវបានស្វែងរកយ៉ាងខ្លាំងដោយឧក្រិដ្ឋជនតាមអ៊ីនធឺណិត ព្រោះវាជារឿយៗត្រូវបានចងភ្ជាប់ជាមួយនឹងការកេងប្រវ័ញ្ច RCE ដំបូងដើម្បីផ្តល់សិទ្ធិចូលប្រើរដ្ឋបាលជ្រៅដល់កម្មវិធីព្យាបាទលើឧបករណ៍ដែលរងការលួចចូល។

ចំណុចខ្សោយសមាសធាតុជាក់លាក់របស់អ្នកលក់

កម្រិតបំណះបន្ទាប់បន្សំ 2026-03-05 ត្រូវបានឧទ្ទិសដល់ការដោះស្រាយចំណុចខ្សោយចំនួន 66 ដែលត្រូវបានរកឃើញនៅក្នុងសមាសធាតុផ្នែករឹងភាគីទីបីប្រភពបិទ និងប្រភពបើកចំហ។

Google បានសហការជាមួយអ្នកលក់ធំៗ ដើម្បីជួសជុលកំហុសធ្ងន់ធ្ងរដែលប៉ះពាល់ដល់ផ្នែករឹង Arm, Imagination Technologies, MediaTek និង Unisoc។

ការជួសជុលទាំងនេះដោះស្រាយចំណុចខ្សោយជាច្រើននៃ Elevation of Privilege និង Information Disclosure ដែលបង្កប់យ៉ាងជ្រៅនៅក្នុងម៉ូដឹមឧបករណ៍ អ៊ីបភើរវីស័រ និងកម្មវិធីបញ្ជា GPU។

បញ្ជីយ៉ាងទូលំទូលាយនៃបំណះកម្រិតផ្នែករឹងនេះបង្ហាញពីបញ្ហាប្រឈមដែលកំពុងបន្តនៃការធានាខ្សែសង្វាក់ផ្គត់ផ្គង់ទូរស័ព្ទចល័តដ៏ស្មុគស្មាញប្រឆាំងនឹងការគំរាមកំហែងជាប់លាប់កម្រិតខ្ពស់

ដើម្បីការពារប្រឆាំងនឹងការគំរាមកំហែងដ៏ស្មុគស្មាញទាំងនេះ អ្នកប្រើប្រាស់គួរតែផ្ទៀងផ្ទាត់កម្រិតបំណះសុវត្ថិភាពរបស់ឧបករណ៍របស់ពួកគេតាមរយៈការកំណត់ប្រព័ន្ធរបស់ពួកគេ។

ឧបករណ៍ដែលដំណើរការកម្រិតបំណះ 2026-03-05 ត្រូវបានការពារយ៉ាងពេញលេញប្រឆាំងនឹងភាពងាយរងគ្រោះទាំង 129 ដែលមានលម្អិតនៅក្នុងព្រឹត្តិបត្រនេះ ក៏ដូចជាឧបករណ៍ដែលត្រូវបានដោះស្រាយនៅក្នុងការអាប់ដេតសុវត្ថិភាពពីមុន។

Google នឹងបោះពុម្ពផ្សាយបំណះកូដប្រភពដែលត្រូវគ្នាទៅកាន់ឃ្លាំង Android Open-Source Project (AOSP) ក្នុងរយៈពេល 48 ម៉ោង ដើម្បីធានាបាននូវស្ថេរភាពវេទិការយៈពេលវែងសម្រាប់ប្រព័ន្ធអេកូឡូស៊ីដ៏ទូលំទូលាយ។

ទន្ទឹមនឹងនេះ Google Play Protect នៅតែជាស្រទាប់ការពារសកម្មសម្រាប់អ្នកប្រើប្រាស់ជាមួយសេវាកម្មទូរស័ព្ទចល័តរបស់ Google ដោយតាមដានជាបន្តបន្ទាប់ និងរារាំងកម្មវិធីដែលអាចបង្កគ្រោះថ្នាក់ដែលព្យាយាមកេងប្រវ័ញ្ចចំណុចខ្សោយដែលទើបនឹងបង្ហាញថ្មីៗទាំងនេះ។