Google publikuje aktualizację zabezpieczeń systemu Android 06/2023. (P23-105)

cert.pse-online.pl 1 rok temu

Biuletyn bezpieczeństwa systemu Android zawiera szczegółowe informacje na temat luk w zabezpieczeniach urządzeń z systemem Android. Poprawki zabezpieczeń z 2023-06-05 lub nowsze rozwiązują wszystkie te problemy.

Najpoważniejszym z tych problemów jest krytyczna luka w zabezpieczeniach komponentu System, która może prowadzić do zdalnego wykonania kodu przez Bluetooth, jeżeli włączona jest obsługa HFP, bez dodatkowych uprawnień do wykonywania. Interakcja użytkownika nie jest potrzebna do wykorzystania

2023-06-01 Szczegóły luk w zabezpieczeniach na poziomie poprawki zabezpieczeń

W poniższych sekcjach podajemy szczegółowe informacje na temat każdej luki w zabezpieczeniach, która dotyczy poziomu poprawki 2023-06-01.

Struktura

Najpoważniejsza luka w zabezpieczeniach opisana w tej sekcji może prowadzić do zdalnego wykonania kodu bez konieczności posiadania dodatkowych uprawnień do wykonywania. Do wykorzystania wymagana jest interakcja użytkownika.

CVEBibliografiaTypKrytycznośćZaktualizowane wersje AOSP
CVE-2023-21127A-275418191RCEKrytyczna11, 12, 12L, 13
CVE-2023-21126A-271846393EoPWysoka13
CVE-2023-21128A-272042183EoPWysoka11, 12, 12L, 13
CVE-2023-21129A-274759612EoPWysoka11, 12, 12L, 13
CVE-2023-21131A-265015796EoPWysoka11, 12, 12L, 13
CVE-2023-21139A-271845008EoPWysoka13
CVE-2023-21105A-261036568IDWysoka11, 12, 12L, 13
CVE-2023-21136A-246542285DoSWysoka11, 12, 12L, 13
CVE-2023-21137A-246541702DoSWysoka11, 12, 12L, 13
CVE-2023-21143A-268193777DoSWysoka11, 12, 12L, 13

System

Najpoważniejsza luka w zabezpieczeniach opisana w tej sekcji może prowadzić do zdalnego wykonania kodu przez Bluetooth, jeżeli włączona jest obsługa HFP, bez dodatkowych uprawnień do wykonywania. Interakcja użytkownika nie jest potrzebna do wykorzystania.

CVEBibliografiaTypKrytycznośćZaktualizowane wersje AOSP
CVE-2023-21108A-239414876RCEKrytyczna11, 12, 12L, 13
CVE-2023-21130A-273502002RCEKrytyczna13
CVE-2023-21115A-258834033EoPWysoka11, 12, 12L
CVE-2023-21121A-205460459EoPWysoka11, 12
CVE-2023-21122A-270050191EoPWysoka11, 12, 12L, 13
CVE-2023-21123A-270050064EoPWysoka11, 12, 12L, 13
CVE-2023-21124A-265798353EoPWysoka11, 12, 12L, 13
CVE-2023-21135A-260570119EoPWysoka11, 12, 12L, 13
CVE-2023-21138A-273260090EoPWysoka11, 12, 12L, 13
CVE-2023-21095A-242704576IDWysoka12L, 13
CVE-2023-21141A-262244249IDWysoka11, 12, 12L, 13
CVE-2023-21142A-262243665IDWysoka11, 12, 12L, 13
CVE-2023-21144A-252766417DoSWysoka11, 12, 12L, 13

2023-06-05 Szczegóły luk w zabezpieczeniach na poziomie poprawki zabezpieczeń

W poniższych sekcjach podajemy szczegółowe informacje na temat każdej luki w zabezpieczeniach, która dotyczy poziomu poprawki 2023-06-05.

ARM

Luki te dotyczą komponentów Arm, a dalsze szczegóły są dostępne bezpośrednio w Arm. Ocena dotkliwości tych problemów jest dostarczana bezpośrednio przez ARM.

CVEBibliografiaKrytycznośćPodkomponent
CVE-2022-22706A-225040268 *WysokaMali
CVE-2022-28349A-278616909 *WysokaMali
CVE-2022-46781A-267242697 *WysokaMali

Technologie wyobraźni

Luki te dotyczą komponentów firmy Imagination Technologies, a dalsze szczegóły można uzyskać bezpośrednio od firmy Imagination Technologies. Ocenę istotności tych problemów zapewnia bezpośrednio firma Imagination Technologies.

CVEBibliografiaKrytycznośćPodkomponent
CVE-2021-0701A-277775870 *WysokaGPU PowerVR
CVE-2021-0945A-278156680 *WysokaGPU PowerVR

Komponenty Unisoc

Luki te dotyczą komponentów Unisoc, a dalsze szczegóły są dostępne bezpośrednio w firmie Unisoc. Ocenę ważności tych problemów zapewnia bezpośrednio firma Unisoc.

CVEBibliografiaKrytycznośćPodkomponent
CVE-2022-48390A-278796976
U-2055602 *
WysokaAndroid
CVE-2022-48392A-278775990
U-2193456 *
U-2056224 *
WysokaAndroid
CVE-2022-48438A-278801630
U-2179935 *
WysokaJądro/Android
CVE-2022-48391A-278775987
U-2055602 *
WysokaAndroid

Widevine DRM

Luki te dotyczą komponentów Widevine DRM, a dalsze szczegóły są dostępne bezpośrednio w Widevine DRM. Ocena ważności tych problemów jest zapewniana bezpośrednio przez Widevine DRM.

CVEBibliografiaKrytycznośćPodkomponent
CVE-2023-21101A-258189255 *Wysokaszerokie winorośli
CVE-2023-21120A-258188673 *WysokaSprzętowy DRM

komponenty Qualcomma

Luki te dotyczą komponentów firmy Qualcomm i są szczegółowo opisane we właściwym biuletynie lub alercie bezpieczeństwa firmy Qualcomm. Ocena ważności tych problemów jest dostarczana bezpośrednio przez firmę Qualcomm.

CVEBibliografiaKrytycznośćPodkomponent
CVE-2022-33292A-250627197
QC-CR#3152855
WysokaJądro
CVE-2023-21656A-271879673
QC-CR#3346781
WysokaWLAN
CVE-2023-21657A-271880369
QC-CR#3344305
WysokaAudio
CVE-2023-21669A-271892276
QC-CR#3346764
WysokaWLAN
CVE-2023-21670A-276750663
QC-CR#3425942 [ 2 ] [ 3 ]
WysokaWyświetlacz

Komponenty Qualcomm o zamkniętym kodzie źródłowym

Luki te dotyczą komponentów Qualcomm o zamkniętym kodzie źródłowym i są opisane bardziej szczegółowo we właściwym biuletynie lub alercie bezpieczeństwa Qualcomm. Ocena ważności tych problemów jest dostarczana bezpośrednio przez firmę Qualcomm.

CVEBibliografiaKrytycznośćPodkomponent
CVE-2022-33257A-245402340 *KrytycznaKomponent o zamkniętym źródle
CVE-2022-40529A-261470065 *KrytycznaKomponent o zamkniętym źródle
CVE-2022-22060A-261470067 *WysokaKomponent o zamkniętym źródle
CVE-2022-33251A-245403689 *WysokaKomponent o zamkniętym źródle
CVE-2022-33264A-245611823 *WysokaKomponent o zamkniętym źródle
CVE-2022-40516A-261468731 *WysokaKomponent o zamkniętym źródle
CVE-2022-40517A-261470729 *WysokaKomponent o zamkniętym źródle
CVE-2022-40520A-261468681 *WysokaKomponent o zamkniętym źródle
CVE-2022-40521A-261471027 *WysokaKomponent o zamkniętym źródle
CVE-2022-40523A-261468047 *WysokaKomponent o zamkniętym źródle
CVE-2022-40533A-261470447 *WysokaKomponent o zamkniętym źródle
CVE-2022-40536A-261468732 *WysokaKomponent o zamkniętym źródle
CVE-2022-40538A-261468697 *WysokaKomponent o zamkniętym źródle
CVE-2023-21628A-268059669 *WysokaKomponent o zamkniętym źródle
CVE-2023-21658A-271879161 *WysokaKomponent o zamkniętym źródle
CVE-2023-21659A-271879660 *WysokaKomponent o zamkniętym źródle
CVE-2023-21661A-271880271 *WysokaKomponent o zamkniętym źródle
Idź do oryginalnego materiału