Google publikuje aktualizację zabezpieczeń systemu Android 05/2023. (P23-065)

cert.pse-online.pl 1 rok temu

Biuletyn bezpieczeństwa systemu Android zawiera szczegółowe informacje na temat luk w zabezpieczeniach urządzeń z systemem Android. Poziomy poprawek zabezpieczeń 2023-05-05 lub nowsze rozwiązują wszystkie te problemy.

Najpoważniejszym z tych problemów jest luka w zabezpieczeniach komponentu Framework, która może prowadzić do lokalnej eskalacji uprawnień bez dodatkowych uprawnień do wykonywania. Do wykorzystania wymagana jest interakcja użytkownika.

2023-05-01 Szczegóły luk w zabezpieczeniach na poziomie poprawki zabezpieczeń

W poniższych sekcjach podajemy szczegółowe informacje na temat każdej luki w zabezpieczeniach, która dotyczy poziomu poprawki 2023-05-01.

Struktura

Najpoważniejsza luka w zabezpieczeniach opisana w tej sekcji może prowadzić do lokalnej eskalacji uprawnień bez konieczności posiadania dodatkowych uprawnień do wykonywania. Do wykorzystania wymagana jest interakcja użytkownika.

CVEBibliografiaTypKrytycznośćZaktualizowane wersje AOSP
CVE-2021-39617A-175190844EoPWysoka11, 12, 12L
CVE-2022-20338A-171966843EoPWysoka11, 12, 12L
CVE-2023-20993A-261588851EoPWysoka11, 12, 12L, 13
CVE-2023-21109A-261589597EoPWysoka11, 12, 12L, 13
CVE-2023-21117A-263358101EoPWysoka13
CVE-2023-20914A-189942529IDWysoka11
CVE-2023-21104A-259938771IDWysoka12L, 13
CVE-2023-20930A-250576066DoSWysoka11, 12, 12L, 13
CVE-2023-21116A-256202273EoPUmiarkowany11, 12, 12L, 13

Ramy

Luka w zabezpieczeniach opisana w tej sekcji może prowadzić do lokalnej eskalacji uprawnień bez konieczności posiadania dodatkowych uprawnień do wykonywania. Interakcja użytkownika nie jest potrzebna do wykorzystania.

CVEBibliografiaTypKrytycznośćZaktualizowane wersje AOSP
CVE-2023-21110A-258422365EoPWysoka11, 12, 12L, 13

System

Najpoważniejsza luka w zabezpieczeniach opisana w tej sekcji może prowadzić do lokalnej eskalacji uprawnień bez konieczności posiadania dodatkowych uprawnień do wykonywania. Interakcja użytkownika nie jest potrzebna do wykorzystania.

CVEBibliografiaTypKrytycznośćZaktualizowane wersje AOSP
CVE-2022-20444A-197296414EoPWysoka11, 12
CVE-2023-21107A-259385017EoPWysoka11, 12, 12L, 13
CVE-2023-21112A-252763983IDWysoka11, 12, 12L, 13
CVE-2023-21118A-269014004IDWysoka11, 12, 12L, 13
CVE-2023-21103A-259064622DoSWysoka11, 12, 12L, 13
CVE-2023-21111A-256819769DoSWysoka11, 12, 12L, 13

Aktualizacje systemu Google Play

Następujące problemy są zawarte w składnikach Project Mainline.

PodkomponentCVE
Kontroler uprawnieńCVE-2021-39617, CVE-2023-20914

2023-05-05 Szczegóły luk w zabezpieczeniach na poziomie poprawki zabezpieczeń

W poniższych sekcjach podajemy szczegółowe informacje na temat każdej luki w zabezpieczeniach, która dotyczy poziomu poprawki 2023-05-05.

Jądro

Najpoważniejsza luka w zabezpieczeniach opisana w tej sekcji może prowadzić do lokalnej eskalacji uprawnień bez konieczności posiadania dodatkowych uprawnień do wykonywania. Interakcja użytkownika nie jest potrzebna do wykorzystania.

CVEBibliografiaTypKrytycznośćPodkomponent
CVE-2023-21102A-260821414
Jądro nadrzędne [ 2 ]
EoPWysokaEFI
CVE-2023-21106A-265016072
Jądro nadrzędne
EoPWysokaGPU

Komponenty jądra

Luka opisana w tej sekcji może prowadzić do lokalnej eskalacji uprawnień z wymaganymi uprawnieniami do wykonywania systemu. Interakcja użytkownika nie jest potrzebna do wykorzystania.

CVEBibliografiaTypKrytycznośćPodkomponent
CVE-2023-0266A-265303544
Jądro nadrzędne
EoPUmiarkowanyJądro

Jądro LTS

Następujące wersje jądra zostały zaktualizowane. Aktualizacje wersji jądra zależą od wersji systemu operacyjnego Android w momencie uruchomienia urządzenia.

BibliografiaWersja startowa AndroidaWersja uruchamiania jądraMinimalna wersja startowa
A-239830686125.105.10.136
A-239977583125.45.4.210
A-239978386115.45.4.210
A-251538603135.105.10.136
A-251540658135.155.15.72

Elementy ramienia

Luki te dotyczą komponentów Arm, a dalsze szczegóły są dostępne bezpośrednio w Arm. Ocena dotkliwości tych problemów jest dostarczana bezpośrednio przez ARM.

CVEBibliografiaKrytycznośćPodkomponent
CVE-2022-4639A-267360595 *WysokaMali
CVE-2022-46395A-267357916 *WysokaMali
CVE-2022-46396A-259984805 *WysokaMali
CVE-2022-46891A-260149319 *WysokaMali
CVE-2023-26085A-261701167 *WysokaUzbrój sterownik NNAPI

Technologie wyobraźni

Ta luka dotyczy komponentów firmy Imagination Technologies, a dalsze szczegóły można uzyskać bezpośrednio od firmy Imagination Technologies. Ocenę ważności tego problemu zapewnia bezpośrednio firma Imagination Technologies.

CVEBibliografiaKrytycznośćPodkomponent
CVE-2021-0877A-273754094 *WysokaGPU PowerVR

komponenty MediaTeka

Luki te dotyczą komponentów MediaTek, a dalsze szczegóły są dostępne bezpośrednio w firmie MediaTek. Ocenę ważności tych problemów zapewnia bezpośrednio firma MediaTek.

CVEBibliografiaKrytycznośćPodkomponent
CVE-2023-20694A-271785766
M-ALPS07733998 *
Wysokaładowanie wstępne
CVE-2023-20695A-271788841
M-ALPS07734012 *
Wysokaładowanie wstępne
CVE-2023-20696A-271788842
M-ALPS07856356 *
Wysokaładowanie wstępne
CVE-2023-20699A-271788844
M-ALPS07696073 *
Wysokareklamy
CVE-2023-20697A-271785768
M-ALPS07589148 *
Wysokainstalacja klucza
CVE-2023-20698A-271785769
M-ALPS07589144 *
Wysokainstalacja klucza
CVE-2023-20726A-271785764
M-ALPS07735968 *
Wysokamnld

Komponenty Unisoc

Luki te dotyczą komponentów Unisoc, a dalsze szczegóły są dostępne bezpośrednio w firmie Unisoc. Ocenę ważności tych problemów zapewnia bezpośrednio firma Unisoc.

CVEBibliografiaKrytycznośćPodkomponent
CVE-2022-47469A-273383823
U-2143205 *
WysokaJądro
CVE-2022-47470A-273397872
U-2143207 *
WysokaJądro
CVE-2022-47486A-273401256
U-2143210 *
WysokaJądro
CVE-2022-47487A-273397882
U-2079517 *
WysokaAndroid
CVE-2022-47488A-273409059
U-2064944 *
WysokaJądro

komponenty Qualcomma

Luki te dotyczą komponentów firmy Qualcomm i są szczegółowo opisane we właściwym biuletynie lub alercie bezpieczeństwa firmy Qualcomm. Ocena ważności tych problemów jest dostarczana bezpośrednio przez firmę Qualcomm.

CVEBibliografiaKrytycznośćPodkomponent
CVE-2023-21665A-271879598
QC-CR#3400722
WysokaWyświetlacz
CVE-2023-21666A-271879644
QC-CR#3400780
WysokaWyświetlacz

Komponenty Qualcomm o zamkniętym kodzie źródłowym

Luki te dotyczą komponentów Qualcomm o zamkniętym kodzie źródłowym i są opisane bardziej szczegółowo we właściwym biuletynie lub alercie bezpieczeństwa Qualcomm. Ocena ważności tych problemów jest dostarczana bezpośrednio przez firmę Qualcomm.

CVEBibliografiaKrytycznośćPodkomponent
CVE-2022-25713A-258057293 *WysokaKomponent o zamkniętym źródle
CVE-2022-33273A-258057450 *WysokaKomponent o zamkniętym źródle
CVE-2022-33305A-258057367 *WysokaKomponent o zamkniętym źródle
CVE-2022-34144A-258057329 *WysokaKomponent o zamkniętym źródle
CVE-2022-40504A-258057235 *WysokaKomponent o zamkniętym źródle
CVE-2022-40508A-258057197 *WysokaKomponent o zamkniętym źródle
Idź do oryginalnego materiału