Google publikuje aktualizację zabezpieczeń systemu Android 09/2023. (P23-231)

cert.pse-online.pl 1 rok temu

Biuletyn bezpieczeństwa systemu Android zawiera szczegółowe informacje na temat luk w zabezpieczeniach urządzeń z systemem Android. Poprawki zabezpieczeń z 2023-07-05 lub nowsze rozwiązują wszystkie te problemy.

Najpoważniejszym z tych problemów jest krytyczna luka w zabezpieczeniach komponentu System, która może prowadzić do zdalnego wykonania kodu bez dodatkowych uprawnień do wykonywania. Interakcja użytkownika nie jest potrzebna do wykorzystania.

2023-07-01 Szczegóły luk w zabezpieczeniach na poziomie poprawki zabezpieczeń

Struktura

Najpoważniejsza luka w tej sekcji może pozwolić na możliwe podniesienie uprawnień z powodu zdezorientowanego zastępcy bez dodatkowych uprawnień wykonawczych. Interakcja użytkownika nie jest potrzebna do wykorzystania.

CVEBibliografiaTypKrytycznośćZaktualizowane wersje AOSP
CVE-2023-20918A-243794108EoPWysoka11, 12, 12L, 13
CVE-2023-20942A-258021433EoPWysoka12, 12L, 13
CVE-2023-21145A-265293293EoPWysoka11, 12, 12L, 13
CVE-2023-21245A-222446076EoPWysoka11, 12, 12L, 13
CVE-2023-21251A-204554636EoPWysoka11, 12, 12L, 13
CVE-2023-21254A-254736794EoPWysoka13
CVE-2023-21257A-257443065EoPWysoka13
CVE-2023-21262A-279905816EoPWysoka12, 12L, 13
CVE-2023-21238A-277740848IDWysoka11, 12, 12L, 13
CVE-2023-21239A-274592467IDWysoka12, 12L, 13
CVE-2023-21249A-217981062IDWysoka13
CVE-2023-21087A-261723753DoSWysoka11, 12, 12L, 13

System

Najpoważniejsza luka w zabezpieczeniach opisana w tej sekcji może prowadzić do zdalnego wykonania kodu bez konieczności posiadania dodatkowych uprawnień do wykonywania. Interakcja użytkownika nie jest potrzebna do wykorzystania.

CVEBibliografiaTypKrytycznośćZaktualizowane wersje AOSP
CVE-2023-21250A-261068592RCEKrytyczna11, 12, 12L, 13
CVE-2023-2136A-278113033RCEWysoka13
CVE-2023-21241A-271849189EoPWysoka11, 12, 12L, 13
CVE-2023-21246A-273729476EoPWysoka11, 12, 12L, 13
CVE-2023-21247A-277333781EoPWysoka12, 12L, 13
CVE-2023-21248A-277333746EoPWysoka12, 12L, 13
CVE-2023-21256A-268193384EoPWysoka13
CVE-2023-21261A-271680254IDWysoka11, 12, 12L, 13
CVE-2023-20910A-245299920DoSWysoka11, 12, 12L, 13
CVE-2023-21240A-275340417DoSWysoka11, 12, 12L, 13
CVE-2023-21243A-274445194DoSWysoka11, 12, 12L, 13

Aktualizacje systemu Google Play

Następujące problemy są zawarte w składnikach Project Mainline.

PodkomponentCVE
WiFiCVE-2023-20910, CVE-2023-21240, CVE-2023-21243

2023-07-05 Szczegóły luk w zabezpieczeniach na poziomie poprawki zabezpieczeń

Jądro

Najpoważniejsza luka w zabezpieczeniach opisana w tej sekcji może prowadzić do lokalnej eskalacji uprawnień w jądrze bez konieczności posiadania dodatkowych uprawnień do wykonywania. Interakcja użytkownika nie jest potrzebna do wykorzystania.

CVEBibliografiaTypKrytycznośćPodkomponent
CVE-2022-42703A-253167854
Jądro nadrzędne
EoPWysokaZarządzanie pamięcią
CVE-2023-21255A-275041864
Jądro nadrzędne
EoPWysokaSpoiwo

Komponenty jądra

Luka w zabezpieczeniach opisana w tej sekcji może prowadzić do lokalnej eskalacji uprawnień bez konieczności posiadania dodatkowych uprawnień do wykonywania. Interakcja użytkownika nie jest potrzebna do wykorzystania.

CVEBibliografiaTypKrytycznośćPodkomponent
CVE-2023-25012A-268589017
Jądro nadrzędne [ 2 ] [ 3 ] [ 4 ]
EoPWysokaUKRYĆ

Elementy ramienia

Luki te dotyczą komponentów Arm, a dalsze szczegóły są dostępne bezpośrednio w Arm. Ocena dotkliwości tych problemów jest dostarczana bezpośrednio przez ARM.

CVEBibliografiaKrytycznośćPodkomponent
CVE-2021-29256A-283489460 *WysokaMali
CVE-2022-28350A-226921651 *WysokaMali
CVE-2023-28147A-274005916 *WysokaMali
CVE-2023-26083A-272073598 *UmiarkowanaMali

Technologie wyobraźni

Ta luka dotyczy komponentów firmy Imagination Technologies, a dalsze szczegóły można uzyskać bezpośrednio od firmy Imagination Technologies. Ocenę ważności tego problemu zapewnia bezpośrednio firma Imagination Technologies.

CVEBibliografiaKrytycznośćPodkomponent
CVE-2021-0948A-281905774 *WysokaGPU PowerVR

komponenty MediaTeka

Luki te dotyczą komponentów MediaTek, a dalsze szczegóły są dostępne bezpośrednio w firmie MediaTek. Ocenę ważności tych problemów zapewnia bezpośrednio firma MediaTek.

CVEBibliografiaKrytycznośćPodkomponent
CVE-2023-20754A-280380543
M-ALPS07563028 *
Wysokainstalacja klucza
CVE-2023-20755A-280374982
M-ALPS07510064 *
Wysokainstalacja klucza

komponenty Qualcomma

Luki te dotyczą komponentów firmy Qualcomm i są szczegółowo opisane we właściwym biuletynie lub alercie bezpieczeństwa firmy Qualcomm. Ocena ważności tych problemów jest dostarczana bezpośrednio przez firmę Qualcomm.

CVEBibliografiaKrytycznośćPodkomponent
CVE-2023-21672A-276751075
QC-CR#3313322
WysokaAudio
CVE-2023-22386A-276750584
QC-CR#3355665 [ 2 ]
WysokaWLAN
CVE-2023-22387A-276750306
QC-CR#3356023 [ 2 ] [ 3 ] [ 4 ]
WysokaJądro
CVE-2023-24851A-276751076
QC-CR#3359589 [ 2 ] [ 3 ]
WysokaWLAN
CVE-2023-24854A-276750639
QC-CR#3366343 [ 2 ]
WysokaWLAN
CVE-2023-28541A-276750665
QC-CR#3144133
WysokaWLAN
CVE-2023-28542A-276750246
QC-CR#3104318
WysokaWLAN

Komponenty Qualcomm o zamkniętym kodzie źródłowym

Luki te dotyczą komponentów Qualcomm o zamkniętym kodzie źródłowym i są opisane bardziej szczegółowo we właściwym biuletynie lub alercie bezpieczeństwa Qualcomm. Ocena ważności tych problemów jest dostarczana bezpośrednio przez firmę Qualcomm.

CVEBibliografiaKrytycznośćPodkomponent
CVE-2023-21629A-264414032 *KrytycznaKomponent o zamkniętym źródle
CVE-2023-21631A-264415234 *WysokaKomponent o zamkniętym źródle
CVE-2023-22667A-276750583 *WysokaKomponent o zamkniętym źródle
Idź do oryginalnego materiału