Biuletyn bezpieczeństwa Androida — wrzesień 2022 r.
Biuletyn Android Security Bulletin zawiera szczegółowe informacje na temat luk w zabezpieczeniach urządzeń z systemem Android. Poziomy poprawek zabezpieczeń z 05.09.2022 lub nowsze rozwiązują wszystkie te problemy.
Najpoważniejszym z tych problemów jest luka w zabezpieczeniach o wysokim poziomie bezpieczeństwa w komponencie Framework, która może prowadzić do lokalnej eskalacji uprawnień bez konieczności posiadania dodatkowych uprawnień do wykonywania.
2022-09-01 szczegóły luki w zabezpieczeniach poziomu łatki bezpieczeństwa
Środowisko wykonawcze Androida
Najpoważniejsza luka w tej sekcji może prowadzić do lokalnej eskalacji uprawnień bez konieczności posiadania dodatkowych uprawnień do wykonywania.
| CVE | Bibliografia | Rodzaj | Krytyczność | Zaktualizowane wersje AOSP |
| CVE-2022-22822 | A-219942275 | EoP | Wysoki | 10, 11, 12, 12L |
| CVE-2022-23852 | A-221255869 | EoP | Wysoki | 10, 11, 12, 12L |
| CVE-2022-23990 | A-221256678 | EoP | Wysoki | 10, 11, 12, 12L |
| CVE-2022-25314 | A-221384482 | EoP | Wysoki | 10, 11, 12, 12L |
Struktura
Najpoważniejsza luka w tej sekcji może prowadzić do lokalnej eskalacji uprawnień bez konieczności posiadania dodatkowych uprawnień do wykonywania.
| CVE | Bibliografia | Rodzaj | Krytyczność | Zaktualizowane wersje AOSP |
| CVE-2022-20218 | A-223907044 | EoP | Wysoki | 12, 12L |
| CVE-2022-20392 | A-213323615 | EoP | Wysoki | 10, 11, 12, 12L |
| CVE-2022-20393 | A-233735886 | ID | Wysoki | 11, 12, 12L |
| CVE-2022-2019 | A-208279300 | EoP | Umiarkowany | 10, 11, 12, 12L |
| CVE-2020-0500 | A-154913391 | ID | Umiarkowany | 10, 11 |
System
Najpoważniejsza luka w tej sekcji może prowadzić do lokalnej eskalacji uprawnień bez konieczności posiadania dodatkowych uprawnień do wykonywania.
| CVE | Bibliografia | Rodzaj | Krytyczność | Zaktualizowane wersje AOSP |
| CVE-2022-20395 | A-221855295 | EoP | Wysoki | 11, 12, 12L, 13 |
| CVE-2022-20398 | A-221859734 | EoP | Wysoki | 13 |
| CVE-2022-20396 | A-234440688 | ID | Wysoki | 12L, 13 |
Aktualizacje systemu Google Play
Następujące kwestie są uwzględnione w komponentach Project Mainline.
| Składnik | CVE |
| Kontroler uprawnień, kontroler uprawnień | CVE-2022-20218 |
| MediaProvider | CVE-2022-20395 |
| Wi-Fi | CVE-2022-20398 |
2022-09-05 szczegóły luki w zabezpieczeniach poziomu łatki bezpieczeństwa
Jądro
Najpoważniejsza luka w tej sekcji może prowadzić do ujawnienia lokalnych informacji o danych sieciowych bez dodatkowych uprawnień do wykonywania.
| CVE | Bibliografia | Rodzaj | Krytyczność | Składnik |
| CVE-2022-20399 | A-219808546 Jądro nadrzędne | ID | Wysoki | SELinux |
| CVE-2022-23960 | A-215557547 Jądro pierwotne [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ] [ 12 ] [ 13 ] [ 14 ] [ 15 ] [ 16 ] [ 17 ] [ 18 ] [ 19 ] [ 20 ] [ 21 ] [ 22 ] [ 23 ] [ 24 ] [ 25 ] [ 26 ] | ID | Wysoki | Składniki jądra |
Składniki jądra
Najpoważniejsza luka w tej sekcji może prowadzić do lokalnej eskalacji uprawnień w bibliotekach systemowych bez dodatkowych uprawnień do wykonywania.
| CVE | Bibliografia | Rodzaj | Krytyczność | Składnik |
| CVE-2021-4083 | A-216408350 Jądro nadrzędne | EoP | Wysoki | Jądro |
| CVE-2022-29582 | A-231494876 Jądro nadrzędne | EoP | Wysoki | fs |
Technologie wyobraźni
Te luki dotyczą komponentów Imagination Technologies, a dalsze szczegóły można uzyskać bezpośrednio od Imagination Technologies. Ocenę dotkliwości tych problemów zapewnia bezpośrednio Imagination Technologies.
| CVE | Bibliografia | Krytyczność | Składnik |
| CVE-2021-0697 | A-238918403 * | Wysoki | PowerVR-GPU |
| CVE-2021-0942 | A-238904312 * | Wysoki | PowerVR-GPU |
| CVE-2021-0943 | A-238916921 * | Wysoki | PowerVR-GPU |
| CVE-2021-0871 | A-238921253 * | Wysoki | PowerVR-GPU |
Komponenty MediaTek
Ta luka dotyczy komponentów MediaTek, a dalsze szczegóły są dostępne bezpośrednio w MediaTek. Ocena dotkliwości tego problemu jest dostarczana bezpośrednio przez MediaTek.
| CVE | Bibliografia | Krytyczność | Składnik |
| CVE-2022-26447 | A-237956326 M-ALPS06784478 * | Wysoki | Oprogramowanie sprzętowe BT |
Komponenty Unisoc
Te luki w zabezpieczeniach dotyczą komponentów Unisoc, a dalsze szczegóły są dostępne bezpośrednio w Unisoc. Ocena dotkliwości tych problemów jest dostarczana bezpośrednio przez Unisoc.
| CVE | Bibliografia | Krytyczność | Składnik |
| CVE-2022-20385 | A-238379819 U-1903041 * | Wysoki | jądro |
| CVE-2022-20386 | A-238227328 U-1903099 * | Wysoki | Android |
| CVE-2022-20387 | A-238227324 U-1872920 * | Wysoki | Android |
| CVE-2022-20388 | A-238227323 U-1872920 * | Wysoki | Android |
| CVE-2022-20389 | A-238257004 U-1872920 * | Wysoki | Android |
| CVE-2022-20390 | A-238257002 U-1872920 * | Wysoki | Android |
| CVE-2022-20391 | A-238257000 U-1872920 * | Wysoki | Andorid |
Komponenty Qualcomm
Te luki w zabezpieczeniach dotyczą składników firmy Qualcomm i zostały opisane bardziej szczegółowo we właściwym biuletynie zabezpieczeń lub alercie zabezpieczeń firmy Qualcomm. Ocena dotkliwości tych problemów jest dostarczana bezpośrednio przez Qualcomm.
| CVE | Bibliografia | Krytyczność | Składnik |
| CVE-2022-22095 | A-223210037 QC-CR#3168780 QC-CR#3088894 | Wysoki | Jądro |
| CVE-2022-25656 | A-228101796 QC-CR#3119439 [ 2 ] QC-CR#2998082 [ 2 ] | Wysoki | Jądro |
| CVE-2022-25670 | A-235102548 QC-CR#3104235 | Wysoki | WLAN |
| CVE-2022-25693 | A-235102897 QC-CR#3141474 | Wysoki | Wyświetlacz |
| CVE-2022-25704 | A-235102694 QC-CR#3155069 [ 2 ] | Wysoki | Bluetooth |
| CVE-2022-25706 | A-235102901 QC-CR#3155132 | Wysoki | Bluetooth |
Komponenty zamkniętego źródła Qualcomm
Te luki w zabezpieczeniach dotyczą komponentów Qualcomm o zamkniętym kodzie źródłowym i są opisane bardziej szczegółowo we właściwym biuletynie lub alercie bezpieczeństwa Qualcomm. Ocena dotkliwości tych problemów jest dostarczana bezpośrednio przez Qualcomm.
| CVE | Bibliografia | Krytyczność | Składnik |
| CVE-2022-25708 | A-235102756 * | Krytyczny | Komponent o zamkniętym kodzie źródłowym |
| CVE-2022-22066 | A-223209292 * | Wysoki | Komponent o zamkniętym kodzie źródłowym |
| CVE-2022-22074 | A-235102567 * | Wysoki | Komponent o zamkniętym kodzie źródłowym |
| CVE-2022-22081 | A-235102758 * | Wysoki | Komponent o zamkniętym kodzie źródłowym |
| CVE-2022-22089 | A-235102568 * | Wysoki | Komponent o zamkniętym kodzie źródłowym |
| CVE-2022-22091 | A-223209291 * | Wysoki | Komponent o zamkniętym kodzie źródłowym |
| CVE-2022-22092 | A-223211216 * | Wysoki | Komponent o zamkniętym kodzie źródłowym |
| CVE-2022-22093 | A-223209815 * | Wysoki | Komponent o zamkniętym kodzie źródłowym |
| CVE-2022-22094 | A-223210036 * | Wysoki | Komponent o zamkniętym kodzie źródłowym |
| CVE-2022-25669 | A-235102508 * | Wysoki | Komponent o zamkniętym kodzie źródłowym |
| CVE-2022-25686 | A-235102899 * | Wysoki | Komponent o zamkniętym kodzie źródłowym |
| CVE-2022-25688 | A-235102421 * | Wysoki | Komponent o zamkniętym kodzie źródłowym |
| CVE-2022-25690 | A-235102422 * | Wysoki | Komponent o zamkniętym kodzie źródłowym |
| CVE-2022-25696 | A-235102900 * | Wysoki | Komponent o zamkniętym kodzie źródłowym |
