Biuletyn bezpieczeństwa systemu Android zawiera szczegółowe informacje na temat luk w zabezpieczeniach urządzeń z systemem Android. Poprawki zabezpieczeń z 2023-04-05 lub nowsze rozwiązują wszystkie te problemy.
Najpoważniejszym z tych problemów jest krytyczna luka w zabezpieczeniach komponentu System, która może prowadzić do zdalnego (proksymalnego/sąsiedniego) wykonania kodu bez konieczności posiadania dodatkowych uprawnień do wykonywania. Interakcja użytkownika nie jest potrzebna do wykorzystania.
2023-04-01 Szczegóły luk w zabezpieczeniach na poziomie poprawki zabezpieczeń
Struktura
Najpoważniejsza luka w zabezpieczeniach opisana w tej sekcji może prowadzić do lokalnej eskalacji uprawnień bez konieczności posiadania dodatkowych uprawnień do wykonywania. Interakcja użytkownika nie jest potrzebna do wykorzystania.
| CVE | Bibliografia | Typ | Krytyczność | Zaktualizowane wersje AOSP |
| CVE-2023-21081 | A-230492955 | EoP | Wysoka | 11, 12, 12L, 13 |
| CVE-2023-21088 | A-235823542 | EoP | Wysoka | 12, 12L, 13 |
| CVE-2023-21089 | A-237766679 | EoP | Wysoka | 11, 12, 12L, 13 |
| CVE-2023-21092 | A-242040055 | EoP | Wysoka | 11, 12, 12L, 13 |
| CVE-2023-21094 | A-248031255 | EoP | Wysoka | 11, 12, 12L, 13 |
| CVE-2023-21097 | A-261858325 | EoP | Wysoka | 11, 12, 12L, 13 |
| CVE-2023-21098 | A-260567867 | EoP | Wysoka | 11, 12, 12L, 13 |
| CVE-2023-21087 | A-261723753 | DoS | Wysoka | 11, 12, 12L, 13 |
| CVE-2023-21090 | A-259942609 | DoS | Wysoka | 13 |
| CVE-2023-20950 | A-195756028 | EoP | Umiarkowana | 11, 12, 12L |
System
Najpoważniejsza luka w zabezpieczeniach opisana w tej sekcji może prowadzić do zdalnego (bliższego/przyległego) wykonania kodu bez konieczności posiadania dodatkowych uprawnień do wykonywania. Interakcja użytkownika nie jest potrzebna do wykorzystania.
| CVE | Bibliografia | Typ | Krytyczność | Zaktualizowane wersje AOSP |
| CVE-2023-21085 | A-264879662 | RCE | Krytyczna | 11, 12, 12L, 13 |
| CVE-2023-21096 | A-254774758 | RCE | Krytyczna | 12, 12L, 13 |
| CVE-2022-20463 | A-231985227 | EoP | Wysoka | 11, 12, 12L, 13 |
| CVE-2023-20967 | A-225879503 | EoP | Wysoka | 11, 12, 12L, 13 |
| CVE-2023-21084 | A-262892300 | EoP | Wysoka | 13 |
| CVE-2023-21086 | A-238298970 | EoP | Wysoka | 11, 12, 12L, 13 |
| CVE-2023-21093 | A-228450832 | EoP | Wysoka | 11, 12, 12L, 13 |
| CVE-2023-21099 | A-243377226 | EoP | Wysoka | 11, 12, 12L, 13 |
| CVE-2023-21100 | A-242544249 | EoP | Wysoka | 12, 12L, 13 |
| CVE-2022-20471 | A-238177877 | ID | Wysoka | 11, 12, 12L, 13 |
| CVE-2023-20909 | A-243130512 | ID | Wysoka | 11, 12, 12L, 13 |
| CVE-2023-20935 | A-256589724 | ID | Wysoka | 11, 12, 12L, 13 |
| CVE-2023-21080 | A-245916076 | ID | Wysoka | 11, 12, 12L, 13 |
| CVE-2023-21082 | A-257030107 | ID | Wysoka | 11, 12, 12L, 13 |
| CVE-2023-21083 | A-252762941 | ID | Wysoka | 11, 12, 12L, 13 |
| CVE-2023-21091 | A-257954050 | DoS | Wysoka | 13 |
Aktualizacje systemu Google Play
Następujące problemy są zawarte w składnikach Project Mainline.
| Podkomponent | CVE |
| Dostawca multimediów | CVE-2023-21093 |
| WiFi | CVE-2022-20463 |
2023-04-05 Szczegóły luk w zabezpieczeniach na poziomie poprawki zabezpieczeń
W poniższych sekcjach podajemy szczegółowe informacje na temat każdej luki w zabezpieczeniach, która dotyczy poziomu poprawki 2023-04-05.
Jądro
Najpoważniejsza luka w zabezpieczeniach opisana w tej sekcji może prowadzić do lokalnej eskalacji uprawnień w jądrze bez konieczności posiadania dodatkowych uprawnień do wykonywania. Interakcja użytkownika nie jest potrzebna do wykorzystania.
| CVE | Bibliografia | Typ | Krytyczność | Podkomponent |
| CVE-2022-4696 | A-264692298 Jądro nadrzędne [ 2 ] | EoP | Wysoka | io_uring |
| CVE-2023-20941 | A-264029575 Jądro nadrzędne | EoP | Wysoka | USB |
Elementy ramienia
Luki te dotyczą komponentów Arm, a dalsze szczegóły są dostępne bezpośrednio w Arm. Ocena dotkliwości tych problemów jest dostarczana bezpośrednio przez ARM.
| CVE | Bibliografia | Krytyczność | Podkomponent |
| CVE-2022-33917 | A-259984559 * | Wysoka | Mali |
| CVE-2022-36449 | A-259983537 * | Wysoka | Mali |
| CVE-2022-38181 | A-259695958 * | Wysoka | Mali |
| CVE-2022-41757 | A-254445909 * | Wysoka | Mali |
| CVE-2022-42716 | A-260148146 * | Wysoka | Mali |
Technologie wyobraźni
Luki te dotyczą komponentów firmy Imagination Technologies, a dalsze szczegóły można uzyskać bezpośrednio od firmy Imagination Technologies. Ocenę istotności tych problemów zapewnia bezpośrednio firma Imagination Technologies.
| CVE | Bibliografia | Krytyczność | Podkomponent |
| CVE-2021-0872 | A-270401229 * | Wysoka | GPU PowerVR |
| CVE-2021-0873 | A-270392711 * | Wysoka | GPU PowerVR |
| CVE-2021-0874 | A-270399633 * | Wysoka | GPU PowerVR |
| CVE-2021-0875 | A-270400061 * | Wysoka | GPU PowerVR |
| CVE-2021-0876 | A-270400229 * | Wysoka | GPU PowerVR |
| CVE-2021-0878 | A-270399153 * | Wysoka | GPU PowerVR |
| CVE-2021-0879 | A-270397970 * | Wysoka | GPU PowerVR |
| CVE-2021-0880 | A-270396792 * | Wysoka | GPU PowerVR |
| CVE-2021-0881 | A-270396350 * | Wysoka | GPU PowerVR |
| CVE-2021-0882 | A-270395803 * | Wysoka | GPU PowerVR |
| CVE-2021-0883 | A-270395013 * | Wysoka | GPU PowerVR |
| CVE-2021-0884 | A-270393454 * | Wysoka | GPU PowerVR |
| CVE-2021-0885 | A-270401914 * | Wysoka | GPU PowerVR |
komponenty MediaTeka
Luki te dotyczą komponentów MediaTek, a dalsze szczegóły są dostępne bezpośrednio w firmie MediaTek. Ocenę ważności tych problemów zapewnia bezpośrednio firma MediaTek.
| CVE | Bibliografia | Krytyczność | Podkomponent |
| CVE-2022-32599 | A-267957662 M-ALPS07460390 * | Wysoka | obr./min |
| CVE-2023-20652 | A-267959360 M-ALPS07628168 * | Wysoka | instalacja klucza |
| CVE-2023-20653 | A-267959361 M-ALPS07628168 * | Wysoka | instalacja klucza |
| CVE-2023-20654 | A-267955234 M-ALPS07628168 * | Wysoka | instalacja klucza |
| CVE-2023-20655 | A-267959364 M-ALPS07203022 * | Wysoka | mmsdk |
| CVE-2023-20656 | A-267957665 M-ALPS07571494 * | Wysoka | strefa dżina |
| CVE-2023-20657 | A-267955236 M-ALPS07571485 * | Wysoka | mtee |
Komponenty Unisoc
Luki te dotyczą komponentów Unisoc, a dalsze szczegóły są dostępne bezpośrednio w firmie Unisoc. Ocenę ważności tych problemów zapewnia bezpośrednio firma Unisoc.
| CVE | Bibliografia | Krytyczność | Podkomponent |
| CVE-2022-47335 | A-268377608 U-2073898 * | Wysoka | Android |
| CVE-2022-47338 | A-268412170 U-2066670 * | Wysoka | Android |
| CVE-2022-47336 | A-268377609 U-2073898 * | Wysoka | Android |
| CVE-2022-47337 | A-268410193 U-2100732 * | Wysoka | Oprogramowanie układowe |
komponenty Qualcomma
Ta luka w zabezpieczeniach dotyczy komponentów firmy Qualcomm i jest opisana bardziej szczegółowo we właściwym biuletynie lub alercie bezpieczeństwa firmy Qualcomm. Ocena ważności tego problemu jest dostarczana bezpośrednio przez firmę Qualcomm.
| CVE | Bibliografia | Krytyczność | Podkomponent |
| CVE-2022-40503 | A-258057241 QC-CR#3237187 [ 2 ] | Wysoka | Bluetooth |
Komponenty Qualcomm o zamkniętym kodzie źródłowym
Luki te dotyczą komponentów Qualcomm o zamkniętym kodzie źródłowym i są opisane bardziej szczegółowo we właściwym biuletynie lub alercie bezpieczeństwa Qualcomm. Ocena ważności tych problemów jest dostarczana bezpośrednio przez firmę Qualcomm.
| CVE | Bibliografia | Krytyczność | Podkomponent |
| CVE-2022-33231 | A-250627388 * | Krytyczna | Komponent o zamkniętym źródle |
| CVE-2022-33288 | A-250627565 * | Krytyczna | Komponent o zamkniętym źródle |
| CVE-2022-33289 | A-250627430 * | Krytyczna | Komponent o zamkniętym źródle |
| CVE-2022-33302 | A-250627485 * | Krytyczna | Komponent o zamkniętym źródle |
| CVE-2022-33269 | A-250627391 * | Wysoka | Komponent o zamkniętym źródle |
| CVE-2022-33270 | A-250627431 * | Wysoka | Komponent o zamkniętym źródle |
| CVE-2022-40532 | A-264417883 * | Wysoka | Komponent o zamkniętym źródle |
| CVE-2023-21630 | A-264417203 * | Wysoka | Komponent o zamkniętym źródle |
