Biuletyn bezpieczeństwa systemu Android zawiera szczegółowe informacje na temat luk w zabezpieczeniach urządzeń z systemem Android. Poziomy poprawek zabezpieczeń 2023-03-05 lub nowsze rozwiązują wszystkie te problemy.
Najpoważniejszym z tych problemów jest krytyczna luka w zabezpieczeniach komponentu System, która może prowadzić do zdalnego wykonania kodu bez dodatkowych uprawnień do wykonywania. Interakcja użytkownika nie jest potrzebna do wykorzystania.
2023-03-01 Szczegóły luk w zabezpieczeniach na poziomie poprawki zabezpieczeń
W poniższych sekcjach podajemy szczegółowe informacje na temat każdej luki w zabezpieczeniach, która dotyczy poziomu poprawki 2023-03-01.
Struktura
Najpoważniejsza luka w zabezpieczeniach opisana w tej sekcji może prowadzić do lokalnej eskalacji uprawnień po zaktualizowaniu aplikacji do wyższego docelowego zestawu SDK bez konieczności posiadania dodatkowych uprawnień do wykonywania. Interakcja użytkownika nie jest potrzebna do wykorzystania.
| CVE | Bibliografia | Typ | Powaga | Zaktualizowane wersje AOSP |
| CVE-2023-20906 | A-221040577 | EoP | Wysoki | 11, 12, 12L, 13 |
| CVE-2023-20911 | A-242537498 | EoP | Wysoki | 11, 12, 12L, 13 |
| CVE-2023-20917 | A-242605257 | EoP | Wysoki | 11, 12, 12L, 13 |
| CVE-2023-20947 | A-237405974 | EoP | Wysoki | 12, 12L, 13 |
| CVE-2023-20963 | A-220302519 | EoP | Wysoki | 11, 12, 12L, 13 |
| CVE-2023-20956 | A-240140929 | ID | Wysoki | 12, 12L, 13 |
| CVE-2023-20958 | A-254803162 | ID | Wysoki | 13 |
| CVE-2023-20964 | A-238177121 | DoS | Wysoki | 12, 12L, 13 |
System
Najpoważniejsza luka w zabezpieczeniach opisana w tej sekcji może prowadzić do zdalnego wykonania kodu bez dodatkowych uprawnień do wykonywania. Interakcja użytkownika nie jest potrzebna do wykorzystania.
| CVE | Bibliografia | Typ | Powaga | Zaktualizowane wersje AOSP |
| CVE-2023-20951 | A-258652631 | RCE | Krytyczny | 11, 12, 12L, 13 |
| CVE-2023-20954 | A-261867748 | RCE | Krytyczny | 11, 12, 12L, 13 |
| CVE-2023-20926 | A-253043058 | EoP | Wysoki | 12, 12L, 13 |
| CVE-2023-20931 | A-242535997 | EoP | Wysoki | 11, 12, 12L, 13 |
| CVE-2023-20936 | A-226927612 | EoP | Wysoki | 11, 12, 12L, 13 |
| CVE-2023-20953 | A-251778420 | EoP | Wysoki | 13 |
| CVE-2023-20955 | A-258653813 | EoP | Wysoki | 11, 12, 12L, 13 |
| CVE-2023-20957 | A-258422561 | EoP | Wysoki | 11, 12, 12L |
| CVE-2023-20959 | A-249057848 | EoP | Wysoki | 13 |
| CVE-2023-20960 | A-250589026 | EoP | Wysoki | 12L, 13 |
| CVE-2023-20966 | A-242299736 | EoP | Wysoki | 11, 12, 12L, 13 |
| CVE-2022-4452 | A-251802307 | ID | Wysoki | 13 |
| CVE-2022-20467 | A-225880741 | ID | Wysoki | 11, 12, 12L, 13 |
| CVE-2023-20929 | A-234442700 | ID | Wysoki | 13 |
| CVE-2023-20952 | A-186803518 | ID | Wysoki | 11, 12, 12L, 13 |
| CVE-2023-20962 | A-256590210 | ID | Wysoki | 13 |
| CVE-2022-20499 | A-246539931 | DoS | Wysoki | 12, 12L, 13 |
| CVE-2023-20910 | A-245299920 | DoS | Wysoki | 11, 12, 12L, 13 |
Aktualizacje systemu Google Play
Następujące problemy są uwzględnione w składnikach Project Mainline.
| Podkomponent | CVE |
| Kodeki multimedialne | CVE-2023-20956 |
| Kontroler uprawnień | CVE-2023-20947 |
| Tethering | CVE-2023-20929 |
| WiFi | CVE-2022-20499, CVE-2023-20910 |
2023-03-05 Szczegóły luk w zabezpieczeniach na poziomie poprawki zabezpieczeń
W poniższych sekcjach podajemy szczegółowe informacje na temat każdej luki w zabezpieczeniach, która dotyczy poziomu poprawki 2023-03-05.
Jądro
Luka w zabezpieczeniach opisana w tej sekcji może prowadzić do lokalnego ujawnienia informacji bez konieczności posiadania dodatkowych uprawnień do wykonywania. Interakcja użytkownika nie jest potrzebna do wykorzystania.
| CVE | Bibliografia | Typ | Powaga | Podkomponent |
| CVE-2021-33655 | A-240019719 Jądro upstream [ 2 ] [ 3 ] | EoP | Wysoki | Bufor ramki |
Komponenty MediaTeka
Luki te dotyczą komponentów MediaTek, a dalsze szczegóły są dostępne bezpośrednio w firmie MediaTek. Ocenę ważności tych problemów zapewnia bezpośrednio firma MediaTek.
| CVE | Bibliografia | Powaga | Podkomponent |
| CVE-2023-20620 | A-264149248 M-ALPS07554558 * | Wysoki | reklamy |
| CVE-2023-20621 | A-264208866 M-ALPS07664755 * | Wysoki | tinysys |
| CVE-2023-20623 | A-264209787 M-ALPS07559778 * | Wysoki | jon |
Komponenty Unisoc
Luki te dotyczą komponentów Unisoc, a dalsze szczegóły są dostępne bezpośrednio w firmie Unisoc. Ocenę ważności tych problemów zapewnia bezpośrednio firma Unisoc.
| CVE | Bibliografia | Powaga | Podkomponent |
| CVE-2022-47459 | A-264598465 U-2032124 * | Wysoki | Jądro |
| CVE-2022-47461 | A-264834026 U-2066617 * | Wysoki | system |
| CVE-2022-47462 | A-264834568 U-2066754 * | Wysoki | system |
| CVE-2022-47460 | A-264831217 U-2044606 * | Wysoki | Jądro |
Komponenty Qualcomma
Luki te dotyczą komponentów firmy Qualcomm i są szczegółowo opisane we właściwym biuletynie lub alercie bezpieczeństwa firmy Qualcomm. Ocena ważności tych problemów jest dostarczana bezpośrednio przez firmę Qualcomm.
| CVE | Bibliografia | Powaga | Podkomponent |
| CVE-2022-22075 | A-193434313 QC-CR#3129138 QC-CR#3112398 [ 2 ] [ 3 ] | Wysoki | Wyświetlacz |
| CVE-2022-40537 | A-261468700 QC-CR#3278869 [ 2 ] [ 3 ] [ 4 ] | Wysoki | Bluetooth |
| CVE-2022-40540 | A-261470730 QC-CR#3280498 | Wysoki | Jądro |
Komponenty Qualcomm o zamkniętym kodzie źródłowym
Luki te dotyczą komponentów Qualcomm o zamkniętym kodzie źródłowym i są opisane bardziej szczegółowo we właściwym biuletynie lub alercie bezpieczeństwa Qualcomm. Ocena ważności tych problemów jest dostarczana bezpośrednio przez firmę Qualcomm.
| CVE | Bibliografia | Powaga | Podkomponent |
| CVE-2022-33213 | A-238106224 * | Krytyczny | Komponent o zamkniętym źródle |
| CVE-2022-33256 | A-245402790 * | Krytyczny | Komponent o zamkniętym źródle |
| CVE-2022-25655 | A-261469326 * | Wysoki | Komponent o zamkniętym źródle |
| CVE-2022-25694 | A-235102547 * | Wysoki | Komponent o zamkniętym źródle |
| CVE-2022-25705 | A-235102507 * | Wysoki | Komponent o zamkniętym źródle |
| CVE-2022-25709 | A-235102420 * | Wysoki | Komponent o zamkniętym źródle |
| CVE-2022-33242 | A-245402503 * | Wysoki | Komponent o zamkniętym źródle |
| CVE-2022-33244 | A-245402728 * | Wysoki | Komponent o zamkniętym źródle |
| CVE-2022-33250 | A-245403450 * | Wysoki | Komponent o zamkniętym źródle |
| CVE-2022-33254 | A-245403473 * | Wysoki | Komponent o zamkniętym źródle |
| CVE-2022-33272 | A-245403311 * | Wysoki | Komponent o zamkniętym źródle |
| CVE-2022-33278 | A-245402730 * | Wysoki | Komponent o zamkniętym źródle |
| CVE-2022-33309 | A-261468683 * | Wysoki | Komponent o zamkniętym źródle |
| CVE-2022-40515 | A-261469638 * | Wysoki | Komponent o zamkniętym źródle |
| CVE-2022-40527 | A-261470448 * | Wysoki | Komponent o zamkniętym źródle |
| CVE-2022-40530 | A-261471028 * | Wysoki | Komponent o zamkniętym źródle |
| CVE-2022-40531 | A-261469091 * | Wysoki | Komponent o zamkniętym źródle |
| CVE-2022-40535 | A-261470732 * | Wysoki | Komponent o zamkniętym źródle |
