Google publikuje aktualizację zabezpieczeń systemu Android 04/2023. (P23-030)

cert.pse-online.pl 1 rok temu

Biuletyn bezpieczeństwa systemu Android zawiera szczegółowe informacje na temat luk w zabezpieczeniach urządzeń z systemem Android. Poprawki zabezpieczeń z 2023-04-05 lub nowsze rozwiązują wszystkie te problemy.

Najpoważniejszym z tych problemów jest krytyczna luka w zabezpieczeniach komponentu System, która może prowadzić do zdalnego (proksymalnego/sąsiedniego) wykonania kodu bez konieczności posiadania dodatkowych uprawnień do wykonywania. Interakcja użytkownika nie jest potrzebna do wykorzystania.

2023-04-01 Szczegóły luk w zabezpieczeniach na poziomie poprawki zabezpieczeń

Struktura

Najpoważniejsza luka w zabezpieczeniach opisana w tej sekcji może prowadzić do lokalnej eskalacji uprawnień bez konieczności posiadania dodatkowych uprawnień do wykonywania. Interakcja użytkownika nie jest potrzebna do wykorzystania.

CVEBibliografiaTypKrytycznośćZaktualizowane wersje AOSP
CVE-2023-21081A-230492955EoPWysoka11, 12, 12L, 13
CVE-2023-21088A-235823542EoPWysoka12, 12L, 13
CVE-2023-21089A-237766679EoPWysoka11, 12, 12L, 13
CVE-2023-21092A-242040055EoPWysoka11, 12, 12L, 13
CVE-2023-21094A-248031255EoPWysoka11, 12, 12L, 13
CVE-2023-21097A-261858325EoPWysoka11, 12, 12L, 13
CVE-2023-21098A-260567867EoPWysoka11, 12, 12L, 13
CVE-2023-21087A-261723753DoSWysoka11, 12, 12L, 13
CVE-2023-21090A-259942609DoSWysoka13
CVE-2023-20950A-195756028EoPUmiarkowana11, 12, 12L

System

Najpoważniejsza luka w zabezpieczeniach opisana w tej sekcji może prowadzić do zdalnego (bliższego/przyległego) wykonania kodu bez konieczności posiadania dodatkowych uprawnień do wykonywania. Interakcja użytkownika nie jest potrzebna do wykorzystania.

CVEBibliografiaTypKrytycznośćZaktualizowane wersje AOSP
CVE-2023-21085A-264879662RCEKrytyczna11, 12, 12L, 13
CVE-2023-21096A-254774758RCEKrytyczna12, 12L, 13
CVE-2022-20463A-231985227EoPWysoka11, 12, 12L, 13
CVE-2023-20967A-225879503EoPWysoka11, 12, 12L, 13
CVE-2023-21084A-262892300EoPWysoka13
CVE-2023-21086A-238298970EoPWysoka11, 12, 12L, 13
CVE-2023-21093A-228450832EoPWysoka11, 12, 12L, 13
CVE-2023-21099A-243377226EoPWysoka11, 12, 12L, 13
CVE-2023-21100A-242544249EoPWysoka12, 12L, 13
CVE-2022-20471A-238177877IDWysoka11, 12, 12L, 13
CVE-2023-20909A-243130512IDWysoka11, 12, 12L, 13
CVE-2023-20935A-256589724IDWysoka11, 12, 12L, 13
CVE-2023-21080A-245916076IDWysoka11, 12, 12L, 13
CVE-2023-21082A-257030107IDWysoka11, 12, 12L, 13
CVE-2023-21083A-252762941IDWysoka11, 12, 12L, 13
CVE-2023-21091A-257954050DoSWysoka13

Aktualizacje systemu Google Play

Następujące problemy są zawarte w składnikach Project Mainline.

PodkomponentCVE
Dostawca multimediówCVE-2023-21093
WiFiCVE-2022-20463

2023-04-05 Szczegóły luk w zabezpieczeniach na poziomie poprawki zabezpieczeń

W poniższych sekcjach podajemy szczegółowe informacje na temat każdej luki w zabezpieczeniach, która dotyczy poziomu poprawki 2023-04-05.

Jądro

Najpoważniejsza luka w zabezpieczeniach opisana w tej sekcji może prowadzić do lokalnej eskalacji uprawnień w jądrze bez konieczności posiadania dodatkowych uprawnień do wykonywania. Interakcja użytkownika nie jest potrzebna do wykorzystania.

CVEBibliografiaTypKrytycznośćPodkomponent
CVE-2022-4696A-264692298
Jądro nadrzędne [ 2 ]
EoPWysokaio_uring
CVE-2023-20941A-264029575
Jądro nadrzędne
EoPWysokaUSB

Elementy ramienia

Luki te dotyczą komponentów Arm, a dalsze szczegóły są dostępne bezpośrednio w Arm. Ocena dotkliwości tych problemów jest dostarczana bezpośrednio przez ARM.

CVEBibliografiaKrytycznośćPodkomponent
CVE-2022-33917A-259984559 *WysokaMali
CVE-2022-36449A-259983537 *WysokaMali
CVE-2022-38181A-259695958 *WysokaMali
CVE-2022-41757A-254445909 *WysokaMali
CVE-2022-42716A-260148146 *WysokaMali

Technologie wyobraźni

Luki te dotyczą komponentów firmy Imagination Technologies, a dalsze szczegóły można uzyskać bezpośrednio od firmy Imagination Technologies. Ocenę istotności tych problemów zapewnia bezpośrednio firma Imagination Technologies.

CVEBibliografiaKrytycznośćPodkomponent
CVE-2021-0872A-270401229 *WysokaGPU PowerVR
CVE-2021-0873A-270392711 *WysokaGPU PowerVR
CVE-2021-0874A-270399633 *WysokaGPU PowerVR
CVE-2021-0875A-270400061 *WysokaGPU PowerVR
CVE-2021-0876A-270400229 *WysokaGPU PowerVR
CVE-2021-0878A-270399153 *WysokaGPU PowerVR
CVE-2021-0879A-270397970 *WysokaGPU PowerVR
CVE-2021-0880A-270396792 *WysokaGPU PowerVR
CVE-2021-0881A-270396350 *WysokaGPU PowerVR
CVE-2021-0882A-270395803 *WysokaGPU PowerVR
CVE-2021-0883A-270395013 *WysokaGPU PowerVR
CVE-2021-0884A-270393454 *WysokaGPU PowerVR
CVE-2021-0885A-270401914 *WysokaGPU PowerVR

komponenty MediaTeka

Luki te dotyczą komponentów MediaTek, a dalsze szczegóły są dostępne bezpośrednio w firmie MediaTek. Ocenę ważności tych problemów zapewnia bezpośrednio firma MediaTek.

CVEBibliografiaKrytycznośćPodkomponent
CVE-2022-32599A-267957662
M-ALPS07460390 *
Wysokaobr./min
CVE-2023-20652A-267959360
M-ALPS07628168 *
Wysokainstalacja klucza
CVE-2023-20653A-267959361
M-ALPS07628168 *
Wysokainstalacja klucza
CVE-2023-20654A-267955234
M-ALPS07628168 *
Wysokainstalacja klucza
CVE-2023-20655A-267959364
M-ALPS07203022 *
Wysokammsdk
CVE-2023-20656A-267957665
M-ALPS07571494 *
Wysokastrefa dżina
CVE-2023-20657A-267955236
M-ALPS07571485 *
Wysokamtee

Komponenty Unisoc

Luki te dotyczą komponentów Unisoc, a dalsze szczegóły są dostępne bezpośrednio w firmie Unisoc. Ocenę ważności tych problemów zapewnia bezpośrednio firma Unisoc.

CVEBibliografiaKrytycznośćPodkomponent
CVE-2022-47335A-268377608
U-2073898 *
WysokaAndroid
CVE-2022-47338A-268412170
U-2066670 *
WysokaAndroid
CVE-2022-47336A-268377609
U-2073898 *
WysokaAndroid
CVE-2022-47337A-268410193
U-2100732 *
WysokaOprogramowanie układowe

komponenty Qualcomma

Ta luka w zabezpieczeniach dotyczy komponentów firmy Qualcomm i jest opisana bardziej szczegółowo we właściwym biuletynie lub alercie bezpieczeństwa firmy Qualcomm. Ocena ważności tego problemu jest dostarczana bezpośrednio przez firmę Qualcomm.

CVEBibliografiaKrytycznośćPodkomponent
CVE-2022-40503A-258057241
QC-CR#3237187 [ 2 ]
WysokaBluetooth

Komponenty Qualcomm o zamkniętym kodzie źródłowym

Luki te dotyczą komponentów Qualcomm o zamkniętym kodzie źródłowym i są opisane bardziej szczegółowo we właściwym biuletynie lub alercie bezpieczeństwa Qualcomm. Ocena ważności tych problemów jest dostarczana bezpośrednio przez firmę Qualcomm.

CVEBibliografiaKrytycznośćPodkomponent
CVE-2022-33231A-250627388 *KrytycznaKomponent o zamkniętym źródle
CVE-2022-33288A-250627565 *KrytycznaKomponent o zamkniętym źródle
CVE-2022-33289A-250627430 *KrytycznaKomponent o zamkniętym źródle
CVE-2022-33302A-250627485 *KrytycznaKomponent o zamkniętym źródle
CVE-2022-33269A-250627391 *WysokaKomponent o zamkniętym źródle
CVE-2022-33270A-250627431 *WysokaKomponent o zamkniętym źródle
CVE-2022-40532A-264417883 *WysokaKomponent o zamkniętym źródle
CVE-2023-21630A-264417203 *WysokaKomponent o zamkniętym źródle
Idź do oryginalnego materiału