Google publikuje aktualizację zabezpieczeń systemu Android 10/2022

cert.pse-online.pl 2 lat temu

Biuletyn Android Security Bulletin zawiera szczegółowe informacje na temat luk w zabezpieczeniach urządzeń z systemem Android. Poziomy poprawek zabezpieczeń z 05.10.2022 lub nowsze rozwiązują wszystkie te problemy

Najpoważniejszym z tych problemów jest krytyczna luka bezpieczeństwa w komponencie Framework, która może prowadzić do lokalnej eskalacji uprawnień bez konieczności posiadania dodatkowych uprawnień do wykonywania.

Struktura

Najpoważniejsza luka w tej sekcji może prowadzić do lokalnej eskalacji uprawnień bez konieczności posiadania dodatkowych uprawnień do wykonywania.

CVE	Bibliografia	Rodzaj	Surowość	Zaktualizowane wersje AOSP
CVE-2022-20419	A-237290578	ID	Krytyczny	12L, 13
CVE-2022-20420	A-238377411	EoP	Wysoki	13
CVE-2022-20351	A-224771921	ID	Wysoki	10, 11, 12, 12L
CVE-2021-39624	A-67862680	DoS	Wysoki	11, 12, 12L
CVE-2021-39758	A-205130886	EoP	Umiarkowany	10, 11, 12
CVE-2022-20415	A-231322873	EoP	Umiarkowany	10, 11, 12, 12L, 13

Ramy multimedialne

Najpoważniejsza luka w tej sekcji może prowadzić do lokalnego ujawnienia informacji z wymaganymi uprawnieniami do wykonywania przez użytkownika.

CVE	Bibliografia	Rodzaj	Surowość	Zaktualizowane wersje AOSP
CVE-2022-20413	A-235850634	ID	Wysoki	10, 11, 12, 12L, 13
CVE-2022-20418	A-231986464	ID	Wysoki	12, 12L, 13

System

Najpoważniejsza luka w tej sekcji może prowadzić do lokalnej eskalacji uprawnień z wymaganymi uprawnieniami do wykonywania systemu.

CVE	Bibliografia	Rodzaj	Surowość	Zaktualizowane wersje AOSP
CVE-2022-20412	A-230794395	EoP	Wysoki	10, 11, 12, 12L, 13
CVE-2022-20416	A-237717857	EoP	Wysoki	12, 12L, 13
CVE-2022-20417	A-237288416	EoP	Wysoki	12, 12L, 13
CVE-2021-39673	A-195410559	ID	Wysoki	13
CVE-2022-20394	A-204906124	ID	Wysoki	10, 11, 12, 12L
CVE-2022-20410	A-205570663	ID	Wysoki	10, 11, 12, 12L, 13
CVE-2022-20425	A-235823407	DoS	Wysoki	10, 11, 12, 12L, 13

Aktualizacje systemu Google Play

W tym miesiącu w aktualizacjach systemu Google Play (Project Mainline) nie rozwiązano żadnych problemów związanych z bezpieczeństwem.

Jądro

Najpoważniejsza luka w tej sekcji może prowadzić do lokalnej eskalacji uprawnień bez konieczności posiadania dodatkowych uprawnień do wykonywania.

CVE	Bibliografia	Rodzaj	Surowość	Składnik
CVE-2022-20421	A-239630375 Jądro nadrzędne	EoP	Wysoki	Sterownik spoiwa
CVE-2022-20422	A-237540956 Jądro nadrzędne	EoP	Wysoki	emulacja armv8
CVE-2022-20423	A-239842288 Jądro nadrzędne [ 2 ]	EoP	Wysoki	USB
CVE-2022-20424	A-230867044 Jądro nadrzędne [ 2 ]	EoP	Wysoki	io_uring

Składniki jądra

Luka opisana w tej sekcji może prowadzić do lokalnej eskalacji uprawnień z wymaganymi uprawnieniami do wykonywania systemu.

CVE	Bibliografia	Rodzaj	Surowość	Składnik
CVE-2022-20409	A-238177383 Jądro nadrzędne	EoP	Umiarkowany	io_uring

Technologie wyobraźni

Te luki dotyczą komponentów Imagination Technologies, a dalsze szczegóły można uzyskać bezpośrednio od Imagination Technologies. Ocenę dotkliwości tych problemów zapewnia bezpośrednio Imagination Technologies.

CVE	Bibliografia	Surowość	Składnik
CVE-2021-0696	A-242344778 *	Wysoki	PowerVR-GPU
CVE-2021-0951	A-242345085 *	Wysoki	PowerVR-GPU
CVE-2021-0699	A-242345178 *	Wysoki	PowerVR-GPU

Komponenty MediaTek

Te luki dotyczą komponentów MediaTek, a dalsze szczegóły są dostępne bezpośrednio w MediaTek. Ocenę dotkliwości tych problemów zapewnia bezpośrednio MediaTek.

CVE	Bibliografia	Surowość	Składnik
CVE-2022-26471	A-234037999 M-ALPS07319121 *	Wysoki	telefonia
CVE-2022-26472	A-234037216 M-ALPS07319095 *	Wysoki	jestem

Komponenty UNISOC

Te luki dotyczą komponentów UNISOC, a dalsze szczegóły są dostępne bezpośrednio w UNISOC. Ocenę dotkliwości tych problemów zapewnia bezpośrednio UNISOC.

CVE	Bibliografia	Surowość	Składnik
CVE-2022-20430	A-242221233 U-1882896 *	Wysoki	Telefonia
CVE-2022-20431	A-242221238 U-1882896 *	Wysoki	Telefonia
CVE-2022-20432	A-242221899 U-1882896 *	Wysoki	Telefonia
CVE-2022-20433	A-242221901 U-1882896 *	Wysoki	Telefonia
CVE-2022-20434	A-242244028 U-1882896 *	Wysoki	Telefonia
CVE-2022-20435	A-242248367 U-1901996 *	Wysoki	Android
CVE-2022-20436	A-242248369 U-1901996 *	Wysoki	Android
CVE-2022-20437	A-242258929 U-1916307 *	Wysoki	Android
CVE-2022-20438	A-242259920 U-1916307 *	Wysoki	Android
CVE-2022-20439	A-242266172 U-1916307 *	Wysoki	Andorid
CVE-2022-20440	A-242259918 U-1916307 *	Wysoki	Android

Komponenty Qualcomm

Te luki w zabezpieczeniach dotyczą składników Qualcomm i są opisane bardziej szczegółowo we właściwym biuletynie lub alercie zabezpieczeń Qualcomm. Ocena dotkliwości tych problemów jest dostarczana bezpośrednio przez Qualcomm.

CVE	Bibliografia	Surowość	Składnik
CVE-2022-25720	A-238214313 QC-CR#3048142 QC-CR#3049634 QC-CR#3051517 QC-CR#3102432	Krytyczny	WLAN
CVE-2022-22077	A-238108281 QC-CR#3155201	Wysoki	Jądro
CVE-2022-25723	A-238108282 QC-CR#3072203	Wysoki	Jądro
CVE-2022-33214	A-238103940 QC-CR#3178237	Wysoki	Wyświetlacz
CVE-2022-33217	A-238103939 QC-CR#3182864	Wysoki	Jądro

Komponenty zamkniętego źródła Qualcomm

Te luki w zabezpieczeniach dotyczą komponentów Qualcomm o zamkniętym kodzie źródłowym i są opisane bardziej szczegółowo we właściwym biuletynie lub alercie bezpieczeństwa Qualcomm. Ocena dotkliwości tych problemów jest dostarczana bezpośrednio przez Qualcomm.

CVE	Bibliografia	Surowość	Składnik
CVE-2022-25718	A-238106982 *	Krytyczny	Komponent o zamkniętym kodzie źródłowym
CVE-2022-25748	A-238106075 *	Krytyczny	Komponent o zamkniętym kodzie źródłowym
CVE-2022-25660	A-228101818 *	Wysoki	Komponent o zamkniętym kodzie źródłowym
CVE-2022-25661	A-228101758 *	Wysoki	Komponent o zamkniętym kodzie źródłowym
CVE-2022-25687	A-238106629 *	Wysoki	Komponent o zamkniętym kodzie źródłowym
CVE-2022-25736	A-238214356 *	Wysoki	Komponent o zamkniętym kodzie źródłowym
CVE-2022-25749	A-238106077 *	Wysoki	Komponent o zamkniętym kodzie źródłowym