Biuletyn bezpieczeństwa systemu Android zawiera szczegółowe informacje na temat luk w zabezpieczeniach urządzeń z systemem Android. Poziomy poprawek zabezpieczeń 2023-03-05 lub nowsze rozwiązują wszystkie te problemy.
Najpoważniejszym z tych problemów jest krytyczna luka w zabezpieczeniach komponentu System, która może prowadzić do zdalnego wykonania kodu bez dodatkowych uprawnień do wykonywania. Interakcja użytkownika nie jest potrzebna do wykorzystania.
2023-03-01 Szczegóły luk w zabezpieczeniach na poziomie poprawki zabezpieczeń
W poniższych sekcjach podajemy szczegółowe informacje na temat każdej luki w zabezpieczeniach, która dotyczy poziomu poprawki 2023-03-01.
Struktura
Najpoważniejsza luka w zabezpieczeniach opisana w tej sekcji może prowadzić do lokalnej eskalacji uprawnień po zaktualizowaniu aplikacji do wyższego docelowego zestawu SDK bez konieczności posiadania dodatkowych uprawnień do wykonywania. Interakcja użytkownika nie jest potrzebna do wykorzystania.
CVE | Bibliografia | Typ | Powaga | Zaktualizowane wersje AOSP |
CVE-2023-20906 | A-221040577 | EoP | Wysoki | 11, 12, 12L, 13 |
CVE-2023-20911 | A-242537498 | EoP | Wysoki | 11, 12, 12L, 13 |
CVE-2023-20917 | A-242605257 | EoP | Wysoki | 11, 12, 12L, 13 |
CVE-2023-20947 | A-237405974 | EoP | Wysoki | 12, 12L, 13 |
CVE-2023-20963 | A-220302519 | EoP | Wysoki | 11, 12, 12L, 13 |
CVE-2023-20956 | A-240140929 | ID | Wysoki | 12, 12L, 13 |
CVE-2023-20958 | A-254803162 | ID | Wysoki | 13 |
CVE-2023-20964 | A-238177121 | DoS | Wysoki | 12, 12L, 13 |
System
Najpoważniejsza luka w zabezpieczeniach opisana w tej sekcji może prowadzić do zdalnego wykonania kodu bez dodatkowych uprawnień do wykonywania. Interakcja użytkownika nie jest potrzebna do wykorzystania.
CVE | Bibliografia | Typ | Powaga | Zaktualizowane wersje AOSP |
CVE-2023-20951 | A-258652631 | RCE | Krytyczny | 11, 12, 12L, 13 |
CVE-2023-20954 | A-261867748 | RCE | Krytyczny | 11, 12, 12L, 13 |
CVE-2023-20926 | A-253043058 | EoP | Wysoki | 12, 12L, 13 |
CVE-2023-20931 | A-242535997 | EoP | Wysoki | 11, 12, 12L, 13 |
CVE-2023-20936 | A-226927612 | EoP | Wysoki | 11, 12, 12L, 13 |
CVE-2023-20953 | A-251778420 | EoP | Wysoki | 13 |
CVE-2023-20955 | A-258653813 | EoP | Wysoki | 11, 12, 12L, 13 |
CVE-2023-20957 | A-258422561 | EoP | Wysoki | 11, 12, 12L |
CVE-2023-20959 | A-249057848 | EoP | Wysoki | 13 |
CVE-2023-20960 | A-250589026 | EoP | Wysoki | 12L, 13 |
CVE-2023-20966 | A-242299736 | EoP | Wysoki | 11, 12, 12L, 13 |
CVE-2022-4452 | A-251802307 | ID | Wysoki | 13 |
CVE-2022-20467 | A-225880741 | ID | Wysoki | 11, 12, 12L, 13 |
CVE-2023-20929 | A-234442700 | ID | Wysoki | 13 |
CVE-2023-20952 | A-186803518 | ID | Wysoki | 11, 12, 12L, 13 |
CVE-2023-20962 | A-256590210 | ID | Wysoki | 13 |
CVE-2022-20499 | A-246539931 | DoS | Wysoki | 12, 12L, 13 |
CVE-2023-20910 | A-245299920 | DoS | Wysoki | 11, 12, 12L, 13 |
Aktualizacje systemu Google Play
Następujące problemy są uwzględnione w składnikach Project Mainline.
Podkomponent | CVE |
Kodeki multimedialne | CVE-2023-20956 |
Kontroler uprawnień | CVE-2023-20947 |
Tethering | CVE-2023-20929 |
WiFi | CVE-2022-20499, CVE-2023-20910 |
2023-03-05 Szczegóły luk w zabezpieczeniach na poziomie poprawki zabezpieczeń
W poniższych sekcjach podajemy szczegółowe informacje na temat każdej luki w zabezpieczeniach, która dotyczy poziomu poprawki 2023-03-05.
Jądro
Luka w zabezpieczeniach opisana w tej sekcji może prowadzić do lokalnego ujawnienia informacji bez konieczności posiadania dodatkowych uprawnień do wykonywania. Interakcja użytkownika nie jest potrzebna do wykorzystania.
CVE | Bibliografia | Typ | Powaga | Podkomponent |
CVE-2021-33655 | A-240019719 Jądro upstream [ 2 ] [ 3 ] | EoP | Wysoki | Bufor ramki |
Komponenty MediaTeka
Luki te dotyczą komponentów MediaTek, a dalsze szczegóły są dostępne bezpośrednio w firmie MediaTek. Ocenę ważności tych problemów zapewnia bezpośrednio firma MediaTek.
CVE | Bibliografia | Powaga | Podkomponent |
CVE-2023-20620 | A-264149248 M-ALPS07554558 * | Wysoki | reklamy |
CVE-2023-20621 | A-264208866 M-ALPS07664755 * | Wysoki | tinysys |
CVE-2023-20623 | A-264209787 M-ALPS07559778 * | Wysoki | jon |
Komponenty Unisoc
Luki te dotyczą komponentów Unisoc, a dalsze szczegóły są dostępne bezpośrednio w firmie Unisoc. Ocenę ważności tych problemów zapewnia bezpośrednio firma Unisoc.
CVE | Bibliografia | Powaga | Podkomponent |
CVE-2022-47459 | A-264598465 U-2032124 * | Wysoki | Jądro |
CVE-2022-47461 | A-264834026 U-2066617 * | Wysoki | system |
CVE-2022-47462 | A-264834568 U-2066754 * | Wysoki | system |
CVE-2022-47460 | A-264831217 U-2044606 * | Wysoki | Jądro |
Komponenty Qualcomma
Luki te dotyczą komponentów firmy Qualcomm i są szczegółowo opisane we właściwym biuletynie lub alercie bezpieczeństwa firmy Qualcomm. Ocena ważności tych problemów jest dostarczana bezpośrednio przez firmę Qualcomm.
CVE | Bibliografia | Powaga | Podkomponent |
CVE-2022-22075 | A-193434313 QC-CR#3129138 QC-CR#3112398 [ 2 ] [ 3 ] | Wysoki | Wyświetlacz |
CVE-2022-40537 | A-261468700 QC-CR#3278869 [ 2 ] [ 3 ] [ 4 ] | Wysoki | Bluetooth |
CVE-2022-40540 | A-261470730 QC-CR#3280498 | Wysoki | Jądro |
Komponenty Qualcomm o zamkniętym kodzie źródłowym
Luki te dotyczą komponentów Qualcomm o zamkniętym kodzie źródłowym i są opisane bardziej szczegółowo we właściwym biuletynie lub alercie bezpieczeństwa Qualcomm. Ocena ważności tych problemów jest dostarczana bezpośrednio przez firmę Qualcomm.
CVE | Bibliografia | Powaga | Podkomponent |
CVE-2022-33213 | A-238106224 * | Krytyczny | Komponent o zamkniętym źródle |
CVE-2022-33256 | A-245402790 * | Krytyczny | Komponent o zamkniętym źródle |
CVE-2022-25655 | A-261469326 * | Wysoki | Komponent o zamkniętym źródle |
CVE-2022-25694 | A-235102547 * | Wysoki | Komponent o zamkniętym źródle |
CVE-2022-25705 | A-235102507 * | Wysoki | Komponent o zamkniętym źródle |
CVE-2022-25709 | A-235102420 * | Wysoki | Komponent o zamkniętym źródle |
CVE-2022-33242 | A-245402503 * | Wysoki | Komponent o zamkniętym źródle |
CVE-2022-33244 | A-245402728 * | Wysoki | Komponent o zamkniętym źródle |
CVE-2022-33250 | A-245403450 * | Wysoki | Komponent o zamkniętym źródle |
CVE-2022-33254 | A-245403473 * | Wysoki | Komponent o zamkniętym źródle |
CVE-2022-33272 | A-245403311 * | Wysoki | Komponent o zamkniętym źródle |
CVE-2022-33278 | A-245402730 * | Wysoki | Komponent o zamkniętym źródle |
CVE-2022-33309 | A-261468683 * | Wysoki | Komponent o zamkniętym źródle |
CVE-2022-40515 | A-261469638 * | Wysoki | Komponent o zamkniętym źródle |
CVE-2022-40527 | A-261470448 * | Wysoki | Komponent o zamkniętym źródle |
CVE-2022-40530 | A-261471028 * | Wysoki | Komponent o zamkniętym źródle |
CVE-2022-40531 | A-261469091 * | Wysoki | Komponent o zamkniętym źródle |
CVE-2022-40535 | A-261470732 * | Wysoki | Komponent o zamkniętym źródle |