Google publikuje aktualizację zabezpieczeń systemu Android 01/2023

cert.pse-online.pl 1 rok temu

Biuletyn bezpieczeństwa systemu Android zawiera szczegółowe informacje na temat luk w zabezpieczeniach urządzeń z systemem Android. Poziomy poprawek zabezpieczeń 2023-01-05 lub nowsze rozwiązują wszystkie te problemy.

Najpoważniejszym z tych problemów jest luka w zabezpieczeniach komponentu Framework, która może prowadzić do lokalnej eskalacji uprawnień bez dodatkowych uprawnień do wykonywania.

2023-01-01 Szczegóły luk w zabezpieczeniach na poziomie poprawki zabezpieczeń

W poniższych sekcjach podajemy szczegółowe informacje na temat każdej luki w zabezpieczeniach, która dotyczy poziomu poprawki 2023-01-01.

Struktura

Najpoważniejsza luka w zabezpieczeniach opisana w tej sekcji może prowadzić do lokalnej eskalacji uprawnień bez konieczności posiadania dodatkowych uprawnień do wykonywania.

CVEBibliografiaRodzajKrytycznośćZaktualizowane wersje AOSP
CVE-2022-20456A-242703780EoPWysoka10, 11, 12, 12L, 13
CVE-2022-20489A-242703460EoPWysoka10, 11, 12, 12L, 13
CVE-2022-20490A-242703505EoPWysoka10, 11, 12, 12L, 13
CVE-2022-20492A-242704043EoPWysoka10, 11, 12, 12L, 13
CVE-2022-20493A-242846316EoPWysoka10, 11, 12, 12L, 13
CVE-2023-20912A-246301995EoPWysoka13
CVE-2023-20916A-229256049EoPWysoka12, 12L
CVE-2023-20918A-243794108EoPWysoka10, 11, 12, 12L, 13
CVE-2023-20919A-252663068EoPWysoka13
CVE-2023-20920A-204584366EoPWysoka10, 11, 12, 12L, 13
CVE-2023-20921A-243378132EoPWysoka10, 11, 12, 12L, 13
CVE-2022-20494A-243794204DoSWysoka10, 11, 12, 12L, 13
CVE-2023-20908A-239415861DoSWysoka10, 11, 12, 12L, 13
CVE-2023-20922A-237291548DoSWysoka11, 12, 12L, 13

System

Najpoważniejsza luka w zabezpieczeniach opisana w tej sekcji może prowadzić do lokalnej eskalacji uprawnień BLE bez konieczności posiadania dodatkowych uprawnień wykonawczych.

CVEBibliografiaRodzajKrytycznośćZaktualizowane wersje AOSP
CVE-2022-20461A-228602963EoPWysoka10, 11, 12, 12L, 13
CVE-2023-20904A-246300272EoPWysoka12L, 13
CVE-2023-20905A-241387741EoPWysoka10
CVE-2023-20913A-246933785EoPWysoka10, 11, 12, 12L, 13
CVE-2023-20915A-246930197EoPWysoka10, 11, 12, 12L, 13

Aktualizacje systemu Google Play

Następujące problemy są zawarte w składnikach Project Mainline.

PodkomponentCVE
Dostawca multimediówCVE-2023-20912

2023-01-05 Szczegóły luk w zabezpieczeniach na poziomie poprawki zabezpieczeń

W poniższych sekcjach podajemy szczegółowe informacje na temat każdej luki w zabezpieczeniach, która dotyczy poziomu poprawki 2023-01-05.

Jądro

Najpoważniejsza luka w zabezpieczeniach opisana w tej sekcji może prowadzić do zdalnego wykonania kodu bez konieczności posiadania dodatkowych uprawnień do wykonywania.

CVEBibliografiaRodzajKrytycznośćPodkomponent
CVE-2022-42719A-253642087
Jądro wyższego rzędu [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ] [ 12 ] [ 13 ] [ 14 ]
RCEKrytycznymac80211
CVE-2022-42720A-253642015
Jądro wyższego rzędu [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ] [ 12 ] [ 13 ] [ 14 ]
RCEKrytycznyWLAN
CVE-2022-42721A-253642088
Jądro wyższego rzędu [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ] [ 12 ] [ 13 ] [ 14 ]
RCEKrytycznyWiele modułów
CVE-2022-2959A-244395411
Jądro nadrzędne
EoPWysokaRura

Komponenty jądra

Najpoważniejsza luka w zabezpieczeniach opisana w tej sekcji może prowadzić do zdalnego wykonania kodu bez konieczności posiadania dodatkowych uprawnień do wykonywania.

CVEBibliografiaRodzajKrytycznośćPodkomponent
CVE-2022-41674A-253641805
Jądro wyższego rzędu [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ] [ 12 ] [ 13 ] [ 14 ]
RCEKrytycznyWLAN
CVE-2023-20928A-254837884
Jądro nadrzędne
EoPWysokaKierowca segregatora

Jądro LTS

Następujące wersje jądra zostały zaktualizowane. Aktualizacje wersji jądra zależą od wersji systemu operacyjnego Android w momencie uruchomienia urządzenia.

BibliografiaWersja startowa AndroidaWersja uruchamiania jądraMinimalna wersja startowa
A-224575820125.105.10.101

Technologie wyobraźni

Ta luka dotyczy komponentów firmy Imagination Technologies, a dalsze szczegóły można uzyskać bezpośrednio od firmy Imagination Technologies. Ocenę ważności tego problemu zapewnia bezpośrednio firma Imagination Technologies.

CVEBibliografiaKrytycznośćPodkomponent
CVE-2022-20235A-259967780 *WysokaGPU PowerVR

komponenty MediaTeka

Luki te dotyczą komponentów MediaTek, a dalsze szczegóły są dostępne bezpośrednio w firmie MediaTek. Ocenę ważności tych problemów zapewnia bezpośrednio firma MediaTek.

CVEBibliografiaKrytycznośćPodkomponent
CVE-2022-32635A-257714327
M-ALPS07573237 *
Wysokagps
CVE-2022-32636A-257846591
M-ALPS07510064 *
Wysokainstalacja klucza
CVE-2022-32637A-257860658
M-ALPS07491374 *
Wysokadekoder hevc

Komponenty Unisoc

Luki te dotyczą komponentów Unisoc, a dalsze szczegóły są dostępne bezpośrednio w firmie Unisoc. Ocenę ważności tych problemów zapewnia bezpośrednio firma Unisoc.

CVEBibliografiaKrytycznośćPodkomponent
CVE-2022-44425A-258731891
U-2028856 *
WysokaJądro
CVE-2022-44426A-258728978
U-2028856 *
WysokaJądro
CVE-2022-44427A-258736883
U-1888565 *
WysokaJądro
CVE-2022-44428A-258741356
U-1888565 *
WysokaJądro
CVE-2022-44429A-258743555
U-1981296 *
WysokaJądro
CVE-2022-44430A-258749708
U-1888565 *
WysokaJądro
CVE-2022-44431A-258741360
U-1981296 *
WysokaJądro
CVE-2022-44432A-258743558
U-1981296 *
WysokaJądro
CVE-2022-44434A-258760518
U-2064988 *
WysokaAndroid
CVE-2022-44435A-258759189
U-2064988 *
WysokaAndroid
CVE-2022-44436A-258760519
U-2064988 *
WysokaAndroid
CVE-2022-44437A-258759192
U-2064988 *
WysokaAndroid
CVE-2022-44438A-258760781
U-2064988 *
WysokaAndroid

komponenty Qualcomma

Luki te dotyczą komponentów firmy Qualcomm i są szczegółowo opisane we właściwym biuletynie lub alercie bezpieczeństwa firmy Qualcomm. Ocena ważności tych problemów jest dostarczana bezpośrednio przez firmę Qualcomm.

CVEBibliografiaKrytycznośćPodkomponent
CVE-2022-22088A-231156521
QC-CR#3052411
KrytycznyBluetooth
CVE-2022-33255A-250627529
QC-CR#3212699
WysokaBluetooth

Komponenty Qualcomm o zamkniętym kodzie źródłowym

Luki te dotyczą komponentów Qualcomm o zamkniętym kodzie źródłowym i są opisane bardziej szczegółowo we właściwym biuletynie lub alercie bezpieczeństwa Qualcomm. Ocena ważności tych problemów jest dostarczana bezpośrednio przez firmę Qualcomm.

CVEBibliografiaKrytycznośćPodkomponent
CVE-2021-35097A-209469821 *KrytycznyKomponent o zamkniętym źródle
CVE-2021-35113A-209469998 *KrytycznyKomponent o zamkniętym źródle
CVE-2021-35134A-213239776 *KrytycznyKomponent o zamkniętym źródle
CVE-2022-23960A-238203772 *WysokaKomponent o zamkniętym źródle
CVE-2022-25725A-238101314 *WysokaKomponent o zamkniętym źródle
CVE-2022-25746A-238106983 *WysokaKomponent o zamkniętym źródle
CVE-2022-33252A-250627159 *WysokaKomponent o zamkniętym źródle
CVE-2022-33253A-250627591 *WysokaKomponent o zamkniętym źródle
CVE-2022-33266A-250627569 *WysokaKomponent o zamkniętym źródle
CVE-2022-33274A-250627236 *WysokaKomponent o zamkniętym źródle
CVE-2022-33276A-250627271 *WysokaKomponent o zamkniętym źródle
CVE-2022-33283A-250627602 *WysokaKomponent o zamkniętym źródle
CVE-2022-33284A-250627218 *WysokaKomponent o zamkniętym źródle
CVE-2022-33285A-250627435 *WysokaKomponent o zamkniętym źródle
CVE-2022-33286A-250627240 *WysokaKomponent o zamkniętym źródle
Idź do oryginalnego materiału