Google publikuje aktualizację zabezpieczeń systemu Android 08/2023. (P23-197)

cert.pse-online.pl 9 miesięcy temu

Biuletyn bezpieczeństwa systemu Android zawiera szczegółowe informacje na temat luk w zabezpieczeniach urządzeń z systemem Android. Poprawki zabezpieczeń z 2023-08-05 lub nowsze rozwiązują wszystkie te problemy.

Najpoważniejszym z tych problemów jest krytyczna luka w zabezpieczeniach komponentu System, która może prowadzić do zdalnego (proksymalnego/sąsiedniego) wykonania kodu bez konieczności posiadania dodatkowych uprawnień do wykonywania. Interakcja użytkownika nie jest potrzebna do wykorzystania.

2023-08-01 Szczegóły luk w zabezpieczeniach na poziomie poprawki zabezpieczeń

W poniższych sekcjach podajemy szczegółowe informacje na temat każdej luki w zabezpieczeniach, która dotyczy poziomu poprawki 2023-08-01.

Środowisko wykonawcze Androida

Luka w zabezpieczeniach opisana w tej sekcji może prowadzić do zdalnego ujawnienia informacji bez konieczności posiadania dodatkowych uprawnień do wykonywania. Interakcja użytkownika nie jest potrzebna do wykorzystania.

CVE	Bibliografia	Typ	Krytyczność	Zaktualizowane wersje AOSP
CVE-2023-21265	A-262521447	ID	Wysoka	11, 12, 12L, 13

Struktura

Najpoważniejsza luka w zabezpieczeniach opisana w tej sekcji może prowadzić do zdalnego wykonania kodu bez konieczności posiadania dodatkowych uprawnień do wykonywania. Interakcja użytkownika nie jest potrzebna do wykorzystania.

CVE	Bibliografia	Typ	Krytyczność	Zaktualizowane wersje AOSP
CVE-2023-21287	A-278221085	RCE	Wysoka	11, 12, 12L, 13
CVE-2023-21269	A-271576718	EoP	Wysoka	13
CVE-2023-21270	A-283006437 [ 2 ]	EoP	Wysoka	12, 12L, 13
CVE-2023-21272	A-227471459	EoP	Wysoka	11, 12, 12L
CVE-2023-21278	A-281807669	EoP	Wysoka	12, 12L, 13
CVE-2023-21281	A-265431505	EoP	Wysoka	11, 12, 12L, 13
CVE-2023-21286	A-277740082	EoP	Wysoka	11, 12, 12L, 13
CVE-2023-21267	A-218495634	ID	Wysoka	11, 12, 12L, 13
CVE-2023-21276	A-213170822	ID	Wysoka	12, 12L, 13
CVE-2023-21277	A-281018094	ID	Wysoka	12, 12L, 13
CVE-2023-21279	A-277741109	ID	Wysoka	12, 12L, 13
CVE-2023-21283	A-280797684 [ 2 ]	ID	Wysoka	11, 12, 12L, 13
CVE-2023-21288	A-276294099	ID	Wysoka	11, 12, 12L, 13
CVE-2023-21289	A-272020068	ID	Wysoka	11, 12, 12L, 13
CVE-2023-21292	A-236688380	ID	Wysoka	11, 12, 12L, 13
CVE-2023-21280	A-270049379	DoS	Wysoka	12, 12L, 13
CVE-2023-21284	A-260729089	DoS	Wysoka	11, 12, 12L, 13

Ramy mediów

Luka w zabezpieczeniach opisana w tej sekcji może prowadzić do zdalnego wykonania kodu bez konieczności posiadania dodatkowych uprawnień do wykonywania. Do wykorzystania wymagana jest interakcja użytkownika.

CVE	Bibliografia	Typ	Krytyczność	Zaktualizowane wersje AOSP
CVE-2023-21282	A-279766766	RCE	Krytyczna	11, 12, 12L, 13

System

Najpoważniejsza luka w zabezpieczeniach opisana w tej sekcji może prowadzić do zdalnego (bliższego/przyległego) wykonania kodu bez konieczności posiadania dodatkowych uprawnień do wykonywania. Interakcja użytkownika nie jest potrzebna do wykorzystania.

CVE	Bibliografia	Typ	Krytyczność	Zaktualizowane wersje AOSP
CVE-2023-21273	A-272783039	RCE	Krytyczna	11, 12, 12L, 13
CVE-2023-20965	A-250574778 [ 2 ] [ 3 ]	EoP	Wysoka	13
CVE-2023-21132	A-253043218	EoP	Wysoka	12, 12L, 13
CVE-2023-21133	A-253043502	EoP	Wysoka	12, 12L, 13
CVE-2023-21134	A-253043495	EoP	Wysoka	12, 12L, 13
CVE-2023-21140	A-253043490	EoP	Wysoka	12, 12L, 13
CVE-2023-21242	A-277824547	EoP	Wysoka	13
CVE-2023-21275	A-278691965	EoP	Wysoka	12, 12L, 13
CVE-2023-21271	A-269455813	ID	Wysoka	12, 12L, 13
CVE-2023-21274	A-269456018	ID	Wysoka	12, 12L, 13
CVE-2023-21285	A-271851153	ID	Wysoka	11, 12, 12L, 13
CVE-2023-21268	A-264880895	DoS	Wysoka	11, 12, 12L, 13
CVE-2023-21290	A-264880689	DoS	Wysoka	11, 12, 12L, 13

Aktualizacje systemu Google Play

Następujące problemy są zawarte w składnikach Project Mainline.

Podkomponent	CVE
Kodeki multimedialne	CVE-2023-21282
Kontroler uprawnień	CVE-2023-21132, CVE-2023-21133, CVE-2023-21134, CVE-2023-21140
WiFi	CVE-2023-20965, CVE-2023-21242

2023-08-05 Szczegóły luk w zabezpieczeniach na poziomie poprawki zabezpieczeń

W poniższych sekcjach podajemy szczegółowe informacje na temat każdej luki w zabezpieczeniach, która dotyczy poziomu poprawki 2023-08-05.

Najpoważniejsza luka w zabezpieczeniach opisana w tej sekcji może prowadzić do lokalnej eskalacji uprawnień z wymaganymi uprawnieniami do wykonywania systemu. Interakcja użytkownika nie jest potrzebna do wykorzystania.

CVE	Bibliografia	Typ	Krytyczność	Podkomponent
CVE-2023-21264	A-279739439 Jądro nadrzędne [ 2 ]	EoP	Krytyczna	KVM
CVE-2020-29374	A-174737879 Jądro nadrzędne [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ]	EoP	Wysoka	KROWA

Elementy ramienia

Ta luka dotyczy komponentów Arm, a dalsze szczegóły są dostępne bezpośrednio w Arm. Ocena ważności tego problemu jest dostarczana bezpośrednio przez ARM.

CVE	Bibliografia		Krytyczność	Podkomponent
CVE-2022-34830	A-227655299 *		Wysoka	Mali

komponenty MediaTeka

Ta luka dotyczy komponentów MediaTek, a dalsze szczegóły są dostępne bezpośrednio w firmie MediaTek. Ocenę ważności tego problemu zapewnia bezpośrednio firma MediaTek.

CVE	Bibliografia		Krytyczność	Podkomponent
CVE-2023-20780	A-285686353 M-ALPS08017756 *		Wysoka	instalacja klucza

Komponenty Qualcomm o zamkniętym kodzie źródłowym

Luki te dotyczą komponentów Qualcomm o zamkniętym kodzie źródłowym i są opisane bardziej szczegółowo we właściwym biuletynie lub alercie bezpieczeństwa Qualcomm. Ocena ważności tych problemów jest dostarczana bezpośrednio przez firmę Qualcomm.

CVE	Bibliografia	Krytyczność	Podkomponent
CVE-2022-40510	A-268059589 *	Krytyczna	Komponent o zamkniętym źródle
CVE-2023-21626	A-268060065 *	Wysoka	Komponent o zamkniętym źródle
CVE-2023-22666	A-280342037 *	Wysoka	Komponent o zamkniętym źródle
CVE-2023-28537	A-280341737 *	Wysoka	Komponent o zamkniętym źródle
CVE-2023-28555	A-280342401 *	Wysoka	Komponent o zamkniętym źródle