Biuletyn bezpieczeństwa systemu Android zawiera szczegółowe informacje na temat luk w zabezpieczeniach urządzeń z systemem Android. Poprawki zabezpieczeń z 2023-08-05 lub nowsze rozwiązują wszystkie te problemy.
Najpoważniejszym z tych problemów jest krytyczna luka w zabezpieczeniach komponentu System, która może prowadzić do zdalnego (proksymalnego/sąsiedniego) wykonania kodu bez konieczności posiadania dodatkowych uprawnień do wykonywania. Interakcja użytkownika nie jest potrzebna do wykorzystania.
2023-08-01 Szczegóły luk w zabezpieczeniach na poziomie poprawki zabezpieczeń
W poniższych sekcjach podajemy szczegółowe informacje na temat każdej luki w zabezpieczeniach, która dotyczy poziomu poprawki 2023-08-01.
Środowisko wykonawcze Androida
Luka w zabezpieczeniach opisana w tej sekcji może prowadzić do zdalnego ujawnienia informacji bez konieczności posiadania dodatkowych uprawnień do wykonywania. Interakcja użytkownika nie jest potrzebna do wykorzystania.
CVE | Bibliografia | Typ | Krytyczność | Zaktualizowane wersje AOSP |
CVE-2023-21265 | A-262521447 | ID | Wysoka | 11, 12, 12L, 13 |
Struktura
Najpoważniejsza luka w zabezpieczeniach opisana w tej sekcji może prowadzić do zdalnego wykonania kodu bez konieczności posiadania dodatkowych uprawnień do wykonywania. Interakcja użytkownika nie jest potrzebna do wykorzystania.
CVE | Bibliografia | Typ | Krytyczność | Zaktualizowane wersje AOSP |
CVE-2023-21287 | A-278221085 | RCE | Wysoka | 11, 12, 12L, 13 |
CVE-2023-21269 | A-271576718 | EoP | Wysoka | 13 |
CVE-2023-21270 | A-283006437 [ 2 ] | EoP | Wysoka | 12, 12L, 13 |
CVE-2023-21272 | A-227471459 | EoP | Wysoka | 11, 12, 12L |
CVE-2023-21278 | A-281807669 | EoP | Wysoka | 12, 12L, 13 |
CVE-2023-21281 | A-265431505 | EoP | Wysoka | 11, 12, 12L, 13 |
CVE-2023-21286 | A-277740082 | EoP | Wysoka | 11, 12, 12L, 13 |
CVE-2023-21267 | A-218495634 | ID | Wysoka | 11, 12, 12L, 13 |
CVE-2023-21276 | A-213170822 | ID | Wysoka | 12, 12L, 13 |
CVE-2023-21277 | A-281018094 | ID | Wysoka | 12, 12L, 13 |
CVE-2023-21279 | A-277741109 | ID | Wysoka | 12, 12L, 13 |
CVE-2023-21283 | A-280797684 [ 2 ] | ID | Wysoka | 11, 12, 12L, 13 |
CVE-2023-21288 | A-276294099 | ID | Wysoka | 11, 12, 12L, 13 |
CVE-2023-21289 | A-272020068 | ID | Wysoka | 11, 12, 12L, 13 |
CVE-2023-21292 | A-236688380 | ID | Wysoka | 11, 12, 12L, 13 |
CVE-2023-21280 | A-270049379 | DoS | Wysoka | 12, 12L, 13 |
CVE-2023-21284 | A-260729089 | DoS | Wysoka | 11, 12, 12L, 13 |
Ramy mediów
Luka w zabezpieczeniach opisana w tej sekcji może prowadzić do zdalnego wykonania kodu bez konieczności posiadania dodatkowych uprawnień do wykonywania. Do wykorzystania wymagana jest interakcja użytkownika.
CVE | Bibliografia | Typ | Krytyczność | Zaktualizowane wersje AOSP |
CVE-2023-21282 | A-279766766 | RCE | Krytyczna | 11, 12, 12L, 13 |
System
Najpoważniejsza luka w zabezpieczeniach opisana w tej sekcji może prowadzić do zdalnego (bliższego/przyległego) wykonania kodu bez konieczności posiadania dodatkowych uprawnień do wykonywania. Interakcja użytkownika nie jest potrzebna do wykorzystania.
CVE | Bibliografia | Typ | Krytyczność | Zaktualizowane wersje AOSP |
CVE-2023-21273 | A-272783039 | RCE | Krytyczna | 11, 12, 12L, 13 |
CVE-2023-20965 | A-250574778 [ 2 ] [ 3 ] | EoP | Wysoka | 13 |
CVE-2023-21132 | A-253043218 | EoP | Wysoka | 12, 12L, 13 |
CVE-2023-21133 | A-253043502 | EoP | Wysoka | 12, 12L, 13 |
CVE-2023-21134 | A-253043495 | EoP | Wysoka | 12, 12L, 13 |
CVE-2023-21140 | A-253043490 | EoP | Wysoka | 12, 12L, 13 |
CVE-2023-21242 | A-277824547 | EoP | Wysoka | 13 |
CVE-2023-21275 | A-278691965 | EoP | Wysoka | 12, 12L, 13 |
CVE-2023-21271 | A-269455813 | ID | Wysoka | 12, 12L, 13 |
CVE-2023-21274 | A-269456018 | ID | Wysoka | 12, 12L, 13 |
CVE-2023-21285 | A-271851153 | ID | Wysoka | 11, 12, 12L, 13 |
CVE-2023-21268 | A-264880895 | DoS | Wysoka | 11, 12, 12L, 13 |
CVE-2023-21290 | A-264880689 | DoS | Wysoka | 11, 12, 12L, 13 |
Aktualizacje systemu Google Play
Następujące problemy są zawarte w składnikach Project Mainline.
Podkomponent | CVE |
Kodeki multimedialne | CVE-2023-21282 |
Kontroler uprawnień | CVE-2023-21132, CVE-2023-21133, CVE-2023-21134, CVE-2023-21140 |
WiFi | CVE-2023-20965, CVE-2023-21242 |
2023-08-05 Szczegóły luk w zabezpieczeniach na poziomie poprawki zabezpieczeń
W poniższych sekcjach podajemy szczegółowe informacje na temat każdej luki w zabezpieczeniach, która dotyczy poziomu poprawki 2023-08-05.
Najpoważniejsza luka w zabezpieczeniach opisana w tej sekcji może prowadzić do lokalnej eskalacji uprawnień z wymaganymi uprawnieniami do wykonywania systemu. Interakcja użytkownika nie jest potrzebna do wykorzystania.
CVE | Bibliografia | Typ | Krytyczność | Podkomponent |
CVE-2023-21264 | A-279739439 Jądro nadrzędne [ 2 ] | EoP | Krytyczna | KVM |
CVE-2020-29374 | A-174737879 Jądro nadrzędne [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] | EoP | Wysoka | KROWA |
Elementy ramienia
Ta luka dotyczy komponentów Arm, a dalsze szczegóły są dostępne bezpośrednio w Arm. Ocena ważności tego problemu jest dostarczana bezpośrednio przez ARM.
CVE | Bibliografia | Krytyczność | Podkomponent | |
CVE-2022-34830 | A-227655299 * | Wysoka | Mali |
komponenty MediaTeka
Ta luka dotyczy komponentów MediaTek, a dalsze szczegóły są dostępne bezpośrednio w firmie MediaTek. Ocenę ważności tego problemu zapewnia bezpośrednio firma MediaTek.
CVE | Bibliografia | Krytyczność | Podkomponent | |
CVE-2023-20780 | A-285686353 M-ALPS08017756 * | Wysoka | instalacja klucza |
Komponenty Qualcomm o zamkniętym kodzie źródłowym
Luki te dotyczą komponentów Qualcomm o zamkniętym kodzie źródłowym i są opisane bardziej szczegółowo we właściwym biuletynie lub alercie bezpieczeństwa Qualcomm. Ocena ważności tych problemów jest dostarczana bezpośrednio przez firmę Qualcomm.
CVE | Bibliografia | Krytyczność | Podkomponent | |
CVE-2022-40510 | A-268059589 * | Krytyczna | Komponent o zamkniętym źródle | |
CVE-2023-21626 | A-268060065 * | Wysoka | Komponent o zamkniętym źródle | |
CVE-2023-22666 | A-280342037 * | Wysoka | Komponent o zamkniętym źródle | |
CVE-2023-28537 | A-280341737 * | Wysoka | Komponent o zamkniętym źródle | |
CVE-2023-28555 | A-280342401 * | Wysoka | Komponent o zamkniętym źródle |