Biuletyn bezpieczeństwa systemu Android zawiera szczegółowe informacje na temat luk w zabezpieczeniach urządzeń z systemem Android. Poziomy poprawek zabezpieczeń 2023-05-05 lub nowsze rozwiązują wszystkie te problemy.
Najpoważniejszym z tych problemów jest luka w zabezpieczeniach komponentu Framework, która może prowadzić do lokalnej eskalacji uprawnień bez dodatkowych uprawnień do wykonywania. Do wykorzystania wymagana jest interakcja użytkownika.
2023-05-01 Szczegóły luk w zabezpieczeniach na poziomie poprawki zabezpieczeń
W poniższych sekcjach podajemy szczegółowe informacje na temat każdej luki w zabezpieczeniach, która dotyczy poziomu poprawki 2023-05-01.
Struktura
Najpoważniejsza luka w zabezpieczeniach opisana w tej sekcji może prowadzić do lokalnej eskalacji uprawnień bez konieczności posiadania dodatkowych uprawnień do wykonywania. Do wykorzystania wymagana jest interakcja użytkownika.
CVE | Bibliografia | Typ | Krytyczność | Zaktualizowane wersje AOSP |
CVE-2021-39617 | A-175190844 | EoP | Wysoka | 11, 12, 12L |
CVE-2022-20338 | A-171966843 | EoP | Wysoka | 11, 12, 12L |
CVE-2023-20993 | A-261588851 | EoP | Wysoka | 11, 12, 12L, 13 |
CVE-2023-21109 | A-261589597 | EoP | Wysoka | 11, 12, 12L, 13 |
CVE-2023-21117 | A-263358101 | EoP | Wysoka | 13 |
CVE-2023-20914 | A-189942529 | ID | Wysoka | 11 |
CVE-2023-21104 | A-259938771 | ID | Wysoka | 12L, 13 |
CVE-2023-20930 | A-250576066 | DoS | Wysoka | 11, 12, 12L, 13 |
CVE-2023-21116 | A-256202273 | EoP | Umiarkowany | 11, 12, 12L, 13 |
Ramy
Luka w zabezpieczeniach opisana w tej sekcji może prowadzić do lokalnej eskalacji uprawnień bez konieczności posiadania dodatkowych uprawnień do wykonywania. Interakcja użytkownika nie jest potrzebna do wykorzystania.
CVE | Bibliografia | Typ | Krytyczność | Zaktualizowane wersje AOSP |
CVE-2023-21110 | A-258422365 | EoP | Wysoka | 11, 12, 12L, 13 |
System
Najpoważniejsza luka w zabezpieczeniach opisana w tej sekcji może prowadzić do lokalnej eskalacji uprawnień bez konieczności posiadania dodatkowych uprawnień do wykonywania. Interakcja użytkownika nie jest potrzebna do wykorzystania.
CVE | Bibliografia | Typ | Krytyczność | Zaktualizowane wersje AOSP |
CVE-2022-20444 | A-197296414 | EoP | Wysoka | 11, 12 |
CVE-2023-21107 | A-259385017 | EoP | Wysoka | 11, 12, 12L, 13 |
CVE-2023-21112 | A-252763983 | ID | Wysoka | 11, 12, 12L, 13 |
CVE-2023-21118 | A-269014004 | ID | Wysoka | 11, 12, 12L, 13 |
CVE-2023-21103 | A-259064622 | DoS | Wysoka | 11, 12, 12L, 13 |
CVE-2023-21111 | A-256819769 | DoS | Wysoka | 11, 12, 12L, 13 |
Aktualizacje systemu Google Play
Następujące problemy są zawarte w składnikach Project Mainline.
Podkomponent | CVE |
Kontroler uprawnień | CVE-2021-39617, CVE-2023-20914 |
2023-05-05 Szczegóły luk w zabezpieczeniach na poziomie poprawki zabezpieczeń
W poniższych sekcjach podajemy szczegółowe informacje na temat każdej luki w zabezpieczeniach, która dotyczy poziomu poprawki 2023-05-05.
Jądro
Najpoważniejsza luka w zabezpieczeniach opisana w tej sekcji może prowadzić do lokalnej eskalacji uprawnień bez konieczności posiadania dodatkowych uprawnień do wykonywania. Interakcja użytkownika nie jest potrzebna do wykorzystania.
CVE | Bibliografia | Typ | Krytyczność | Podkomponent |
CVE-2023-21102 | A-260821414 Jądro nadrzędne [ 2 ] | EoP | Wysoka | EFI |
CVE-2023-21106 | A-265016072 Jądro nadrzędne | EoP | Wysoka | GPU |
Komponenty jądra
Luka opisana w tej sekcji może prowadzić do lokalnej eskalacji uprawnień z wymaganymi uprawnieniami do wykonywania systemu. Interakcja użytkownika nie jest potrzebna do wykorzystania.
CVE | Bibliografia | Typ | Krytyczność | Podkomponent |
CVE-2023-0266 | A-265303544 Jądro nadrzędne | EoP | Umiarkowany | Jądro |
Jądro LTS
Następujące wersje jądra zostały zaktualizowane. Aktualizacje wersji jądra zależą od wersji systemu operacyjnego Android w momencie uruchomienia urządzenia.
Bibliografia | Wersja startowa Androida | Wersja uruchamiania jądra | Minimalna wersja startowa |
A-239830686 | 12 | 5.10 | 5.10.136 |
A-239977583 | 12 | 5.4 | 5.4.210 |
A-239978386 | 11 | 5.4 | 5.4.210 |
A-251538603 | 13 | 5.10 | 5.10.136 |
A-251540658 | 13 | 5.15 | 5.15.72 |
Elementy ramienia
Luki te dotyczą komponentów Arm, a dalsze szczegóły są dostępne bezpośrednio w Arm. Ocena dotkliwości tych problemów jest dostarczana bezpośrednio przez ARM.
CVE | Bibliografia | Krytyczność | Podkomponent |
CVE-2022-4639 | A-267360595 * | Wysoka | Mali |
CVE-2022-46395 | A-267357916 * | Wysoka | Mali |
CVE-2022-46396 | A-259984805 * | Wysoka | Mali |
CVE-2022-46891 | A-260149319 * | Wysoka | Mali |
CVE-2023-26085 | A-261701167 * | Wysoka | Uzbrój sterownik NNAPI |
Technologie wyobraźni
Ta luka dotyczy komponentów firmy Imagination Technologies, a dalsze szczegóły można uzyskać bezpośrednio od firmy Imagination Technologies. Ocenę ważności tego problemu zapewnia bezpośrednio firma Imagination Technologies.
CVE | Bibliografia | Krytyczność | Podkomponent |
CVE-2021-0877 | A-273754094 * | Wysoka | GPU PowerVR |
komponenty MediaTeka
Luki te dotyczą komponentów MediaTek, a dalsze szczegóły są dostępne bezpośrednio w firmie MediaTek. Ocenę ważności tych problemów zapewnia bezpośrednio firma MediaTek.
CVE | Bibliografia | Krytyczność | Podkomponent |
CVE-2023-20694 | A-271785766 M-ALPS07733998 * | Wysoka | ładowanie wstępne |
CVE-2023-20695 | A-271788841 M-ALPS07734012 * | Wysoka | ładowanie wstępne |
CVE-2023-20696 | A-271788842 M-ALPS07856356 * | Wysoka | ładowanie wstępne |
CVE-2023-20699 | A-271788844 M-ALPS07696073 * | Wysoka | reklamy |
CVE-2023-20697 | A-271785768 M-ALPS07589148 * | Wysoka | instalacja klucza |
CVE-2023-20698 | A-271785769 M-ALPS07589144 * | Wysoka | instalacja klucza |
CVE-2023-20726 | A-271785764 M-ALPS07735968 * | Wysoka | mnld |
Komponenty Unisoc
Luki te dotyczą komponentów Unisoc, a dalsze szczegóły są dostępne bezpośrednio w firmie Unisoc. Ocenę ważności tych problemów zapewnia bezpośrednio firma Unisoc.
CVE | Bibliografia | Krytyczność | Podkomponent |
CVE-2022-47469 | A-273383823 U-2143205 * | Wysoka | Jądro |
CVE-2022-47470 | A-273397872 U-2143207 * | Wysoka | Jądro |
CVE-2022-47486 | A-273401256 U-2143210 * | Wysoka | Jądro |
CVE-2022-47487 | A-273397882 U-2079517 * | Wysoka | Android |
CVE-2022-47488 | A-273409059 U-2064944 * | Wysoka | Jądro |
komponenty Qualcomma
Luki te dotyczą komponentów firmy Qualcomm i są szczegółowo opisane we właściwym biuletynie lub alercie bezpieczeństwa firmy Qualcomm. Ocena ważności tych problemów jest dostarczana bezpośrednio przez firmę Qualcomm.
CVE | Bibliografia | Krytyczność | Podkomponent |
CVE-2023-21665 | A-271879598 QC-CR#3400722 | Wysoka | Wyświetlacz |
CVE-2023-21666 | A-271879644 QC-CR#3400780 | Wysoka | Wyświetlacz |
Komponenty Qualcomm o zamkniętym kodzie źródłowym
Luki te dotyczą komponentów Qualcomm o zamkniętym kodzie źródłowym i są opisane bardziej szczegółowo we właściwym biuletynie lub alercie bezpieczeństwa Qualcomm. Ocena ważności tych problemów jest dostarczana bezpośrednio przez firmę Qualcomm.
CVE | Bibliografia | Krytyczność | Podkomponent |
CVE-2022-25713 | A-258057293 * | Wysoka | Komponent o zamkniętym źródle |
CVE-2022-33273 | A-258057450 * | Wysoka | Komponent o zamkniętym źródle |
CVE-2022-33305 | A-258057367 * | Wysoka | Komponent o zamkniętym źródle |
CVE-2022-34144 | A-258057329 * | Wysoka | Komponent o zamkniętym źródle |
CVE-2022-40504 | A-258057235 * | Wysoka | Komponent o zamkniętym źródle |
CVE-2022-40508 | A-258057197 * | Wysoka | Komponent o zamkniętym źródle |