Google publikuje aktualizację zabezpieczeń systemu Android 03/2023

cert.pse-online.pl 1 rok temu

Biuletyn bezpieczeństwa systemu Android zawiera szczegółowe informacje na temat luk w zabezpieczeniach urządzeń z systemem Android. Poziomy poprawek zabezpieczeń 2023-03-05 lub nowsze rozwiązują wszystkie te problemy.

Najpoważniejszym z tych problemów jest krytyczna luka w zabezpieczeniach komponentu System, która może prowadzić do zdalnego wykonania kodu bez dodatkowych uprawnień do wykonywania. Interakcja użytkownika nie jest potrzebna do wykorzystania.

2023-03-01 Szczegóły luk w zabezpieczeniach na poziomie poprawki zabezpieczeń

W poniższych sekcjach podajemy szczegółowe informacje na temat każdej luki w zabezpieczeniach, która dotyczy poziomu poprawki 2023-03-01.

Struktura

Najpoważniejsza luka w zabezpieczeniach opisana w tej sekcji może prowadzić do lokalnej eskalacji uprawnień po zaktualizowaniu aplikacji do wyższego docelowego zestawu SDK bez konieczności posiadania dodatkowych uprawnień do wykonywania. Interakcja użytkownika nie jest potrzebna do wykorzystania.

CVEBibliografiaTypPowagaZaktualizowane wersje AOSP
CVE-2023-20906A-221040577EoPWysoki11, 12, 12L, 13
CVE-2023-20911A-242537498EoPWysoki11, 12, 12L, 13
CVE-2023-20917A-242605257EoPWysoki11, 12, 12L, 13
CVE-2023-20947A-237405974EoPWysoki12, 12L, 13
CVE-2023-20963A-220302519EoPWysoki11, 12, 12L, 13
CVE-2023-20956A-240140929IDWysoki12, 12L, 13
CVE-2023-20958A-254803162IDWysoki13
CVE-2023-20964A-238177121DoSWysoki12, 12L, 13

System

Najpoważniejsza luka w zabezpieczeniach opisana w tej sekcji może prowadzić do zdalnego wykonania kodu bez dodatkowych uprawnień do wykonywania. Interakcja użytkownika nie jest potrzebna do wykorzystania.

CVEBibliografiaTypPowagaZaktualizowane wersje AOSP
CVE-2023-20951A-258652631RCEKrytyczny11, 12, 12L, 13
CVE-2023-20954A-261867748RCEKrytyczny11, 12, 12L, 13
CVE-2023-20926A-253043058EoPWysoki12, 12L, 13
CVE-2023-20931A-242535997EoPWysoki11, 12, 12L, 13
CVE-2023-20936A-226927612EoPWysoki11, 12, 12L, 13
CVE-2023-20953A-251778420EoPWysoki13
CVE-2023-20955A-258653813EoPWysoki11, 12, 12L, 13
CVE-2023-20957A-258422561EoPWysoki11, 12, 12L
CVE-2023-20959A-249057848EoPWysoki13
CVE-2023-20960A-250589026EoPWysoki12L, 13
CVE-2023-20966A-242299736EoPWysoki11, 12, 12L, 13
CVE-2022-4452A-251802307IDWysoki13
CVE-2022-20467A-225880741IDWysoki11, 12, 12L, 13
CVE-2023-20929A-234442700IDWysoki13
CVE-2023-20952A-186803518IDWysoki11, 12, 12L, 13
CVE-2023-20962A-256590210IDWysoki13
CVE-2022-20499A-246539931DoSWysoki12, 12L, 13
CVE-2023-20910A-245299920DoSWysoki11, 12, 12L, 13

Aktualizacje systemu Google Play

Następujące problemy są uwzględnione w składnikach Project Mainline.

PodkomponentCVE
Kodeki multimedialneCVE-2023-20956
Kontroler uprawnieńCVE-2023-20947
TetheringCVE-2023-20929
WiFiCVE-2022-20499, CVE-2023-20910

2023-03-05 Szczegóły luk w zabezpieczeniach na poziomie poprawki zabezpieczeń

W poniższych sekcjach podajemy szczegółowe informacje na temat każdej luki w zabezpieczeniach, która dotyczy poziomu poprawki 2023-03-05.

Jądro

Luka w zabezpieczeniach opisana w tej sekcji może prowadzić do lokalnego ujawnienia informacji bez konieczności posiadania dodatkowych uprawnień do wykonywania. Interakcja użytkownika nie jest potrzebna do wykorzystania.

CVEBibliografiaTypPowagaPodkomponent
CVE-2021-33655A-240019719
Jądro upstream [ 2 ] [ 3 ]
EoPWysokiBufor ramki

Komponenty MediaTeka

Luki te dotyczą komponentów MediaTek, a dalsze szczegóły są dostępne bezpośrednio w firmie MediaTek. Ocenę ważności tych problemów zapewnia bezpośrednio firma MediaTek.

CVEBibliografiaPowagaPodkomponent
CVE-2023-20620A-264149248
M-ALPS07554558 *
Wysokireklamy
CVE-2023-20621A-264208866
M-ALPS07664755 *
Wysokitinysys
CVE-2023-20623A-264209787
M-ALPS07559778 *
Wysokijon

Komponenty Unisoc

Luki te dotyczą komponentów Unisoc, a dalsze szczegóły są dostępne bezpośrednio w firmie Unisoc. Ocenę ważności tych problemów zapewnia bezpośrednio firma Unisoc.

CVEBibliografiaPowagaPodkomponent
CVE-2022-47459A-264598465
U-2032124 *
WysokiJądro
CVE-2022-47461A-264834026
U-2066617 *
Wysokisystem
CVE-2022-47462A-264834568
U-2066754 *
Wysokisystem
CVE-2022-47460A-264831217
U-2044606 *
WysokiJądro

Komponenty Qualcomma

Luki te dotyczą komponentów firmy Qualcomm i są szczegółowo opisane we właściwym biuletynie lub alercie bezpieczeństwa firmy Qualcomm. Ocena ważności tych problemów jest dostarczana bezpośrednio przez firmę Qualcomm.

CVEBibliografiaPowagaPodkomponent
CVE-2022-22075A-193434313
QC-CR#3129138
QC-CR#3112398 [ 2 ] [ 3 ]
WysokiWyświetlacz
CVE-2022-40537A-261468700
QC-CR#3278869 [ 2 ] [ 3 ] [ 4 ]
WysokiBluetooth
CVE-2022-40540A-261470730
QC-CR#3280498
WysokiJądro

Komponenty Qualcomm o zamkniętym kodzie źródłowym

Luki te dotyczą komponentów Qualcomm o zamkniętym kodzie źródłowym i są opisane bardziej szczegółowo we właściwym biuletynie lub alercie bezpieczeństwa Qualcomm. Ocena ważności tych problemów jest dostarczana bezpośrednio przez firmę Qualcomm.

CVEBibliografiaPowagaPodkomponent
CVE-2022-33213A-238106224 *KrytycznyKomponent o zamkniętym źródle
CVE-2022-33256A-245402790 *KrytycznyKomponent o zamkniętym źródle
CVE-2022-25655A-261469326 *WysokiKomponent o zamkniętym źródle
CVE-2022-25694A-235102547 *WysokiKomponent o zamkniętym źródle
CVE-2022-25705A-235102507 *WysokiKomponent o zamkniętym źródle
CVE-2022-25709A-235102420 *WysokiKomponent o zamkniętym źródle
CVE-2022-33242A-245402503 *WysokiKomponent o zamkniętym źródle
CVE-2022-33244A-245402728 *WysokiKomponent o zamkniętym źródle
CVE-2022-33250A-245403450 *WysokiKomponent o zamkniętym źródle
CVE-2022-33254A-245403473 *WysokiKomponent o zamkniętym źródle
CVE-2022-33272A-245403311 *WysokiKomponent o zamkniętym źródle
CVE-2022-33278A-245402730 *WysokiKomponent o zamkniętym źródle
CVE-2022-33309A-261468683 *WysokiKomponent o zamkniętym źródle
CVE-2022-40515A-261469638 *WysokiKomponent o zamkniętym źródle
CVE-2022-40527A-261470448 *WysokiKomponent o zamkniętym źródle
CVE-2022-40530A-261471028 *WysokiKomponent o zamkniętym źródle
CVE-2022-40531A-261469091 *WysokiKomponent o zamkniętym źródle
CVE-2022-40535A-261470732 *WysokiKomponent o zamkniętym źródle
Idź do oryginalnego materiału