Google publikuje aktualizację zabezpieczeń systemu Android 10/2023. (P23-269)

cert.pse-online.pl 1 rok temu

Firma Google opublikowała aktualizacje zabezpieczeń dla Androida z października 2023 r., które usuwają 54 unikalne luki, w tym dwie, o których wiadomo, iż są aktywnie wykorzystywane.

Dwie wykorzystywane luki to CVE-2023-4863 i CVE-2023-4211, w przypadku których Google „ma oznaki, iż mogą one być wykorzystywane w ograniczonym i ukierunkowanym zakresie.

CVE-2023-4863 to luka w zabezpieczeniach związana z przepełnieniem bufora we wszechobecnej bibliotece open source libwebp, która wpływa na wiele programów, w tym Chrome, Firefox, iOS, Microsoft Teams i wiele innych.

CVE-2023-4211 to aktywnie wykorzystywana luka wpływająca na wiele wersji sterowników GPU Arm Mali używanych w szerokiej gamie modeli urządzeń z systemem Android.

Struktura

Najpoważniejsza luka w tej sekcji może prowadzić do lokalnej eskalacji uprawnień bez konieczności posiadania dodatkowych uprawnień do wykonywania.

CVEBibliografiaTypPowagaZaktualizowane wersje AOSP
CVE-2023-21266A-223376078EoPWysoka11, 12, 12L, 13
CVE-2023-40116A-270368476 [ 2 ]EoPWysoka11, 12, 12L
CVE-2023-40120A-274775190EoPWysoka11, 12, 12L, 13
CVE-2023-40131A-282919145EoPWysoka12, 12L, 13
CVE-2023-40140A-274058082EoPWysoka11, 12, 12L, 13
CVE-2023-21291A-277593270IDWysoka11, 12, 12L, 13
CVE-2023-40121A-224771621IDWysoka11, 12, 12L, 13
CVE-2023-40134A-283101289IDWysoka12, 12L, 13
CVE-2023-40136A-281666022IDWysoka11, 12, 12L, 13
CVE-2023-40137A-281665050IDWysoka11, 12, 12L, 13
CVE-2023-40138A-281534749IDWysoka11, 12, 12L, 13
CVE-2023-40139A-281533566IDWysoka11, 12, 12L, 13

System

Najpoważniejsza luka w tej sekcji może prowadzić do zdalnego (bliższego/sąsiadującego) wykonania kodu bez konieczności posiadania dodatkowych uprawnień do wykonywania.

CVEBibliografiaTypKrytycznośćZaktualizowane wersje AOSP
CVE-2023-40129A-273874525RCEKrytyczna12, 12L, 13
CVE-2023-21244A-276729064 [ 2 ] [ 3 ]EoPWysoka11, 12, 12L, 13
CVE-2023-40117A-253043065 [ 2 ]EoPWysoka11, 12, 12L, 13
CVE-2023-40125A-279902472EoPWysoka11, 12, 12L, 13
CVE-2023-40128A-274231102EoPWysoka11, 12, 12L, 13
CVE-2023-40130A-289809991EoPWysoka11, 12, 12L, 13
CVE-2023-40123A-278246904IDWysoka11, 12, 12L, 13
CVE-2023-40127A-262244882IDWysoka11, 12, 12L, 13
CVE-2023-40133A-283264674IDWysoka11, 12, 12L, 13
CVE-2023-40135A-281848557IDWysoka11, 12, 12L, 13
CVE-2023-21252A-275339978 [ 2 ]DoSWysoka11, 12, 12L, 13
CVE-2023-21253A-266580022 [ 2 ] [ 3 ]DoSWysoka11, 12, 12L, 13

Następujące zagadnienia są zawarte w składnikach Project Mainline.

PodskładnikCVE
Dostawca multimediówCVE-2023-40127
WiFiCVE-2023-21252

ARM komponenty

Luki te dotyczą komponentów ARM, a dalsze szczegóły można uzyskać bezpośrednio od ARM. Ocenę dotkliwości tych problemów przeprowadza bezpośrednio Arm.

CVEBibliografiaKrytycznośćPodskładnik
CVE-2021-44828A-296461583 *WysokaMali
CVE-2022-28348A-296463357 *WysokaMali
CVE-2023-4211A-294605494 *WysokaMali
CVE-2023-33200A-287627703 *WysokaMali
CVE-2023-34970A-287624919 *WysokaMali

Komponenty MediaTeka

Luki te dotyczą komponentów MediaTek. Dalsze szczegóły można uzyskać bezpośrednio od MediaTek. Ocena wagi tych problemów jest przeprowadzana bezpośrednio przez firmę MediaTek.

CVEBibliografiaKrytycznośćPodskładnik
CVE-2023-20819A-294779648
M-MOLY01068234 *
WysokaProtokół CDMA PPP
CVE-2023-32819A-294779649
M-ALPS07993705 *
Wysokawyświetlacz
CVE-2023-32820A-294781433
M-ALPS07932637 *
Wysokaoprogramowanie sprzętowe Wlan

Komponenty Unisoca

Luka ta dotyczy komponentów Unisoc. Dalsze szczegóły można uzyskać bezpośrednio od Unisoc. Ocena istotności tego problemu jest dokonywana bezpośrednio przez Unisoc.

CVEBibliografiaKrytycznośćPodskładnik
CVE-2023-40638A-296491611
U-2212107 *
WysokaAndroid

Komponenty Qualcomma

Luki te dotyczą komponentów Qualcomm i są szczegółowo opisane we właściwym biuletynie bezpieczeństwa Qualcomm lub alercie bezpieczeństwa. Oceny istotności tych problemów dokonuje bezpośrednio Qualcomm.

CVEBibliografiaKrytycznośćPodskładnik
CVE-2023-33029A-290061916
QC-CR#3446314
WysokaJądro
CVE-2023-33034A-290060972
QC-CR#3438425
WysokaAudio
CVE-2023-33035A-290061247
QC-CR#3438021
WysokaAudio

Komponenty Qualcomm o zamkniętym kodzie źródłowym

Luki te dotyczą komponentów Qualcomm o zamkniętym kodzie źródłowym i są opisane bardziej szczegółowo we właściwym biuletynie bezpieczeństwa Qualcomm lub alercie bezpieczeństwa. Oceny istotności tych problemów dokonuje bezpośrednio Qualcomm.

CVEBibliografiaKrytycznośćPodskładnik
CVE-2023-24855A-276750662 *KrytycznyKomponent o zamkniętym źródle
CVE-2023-28540A-276751073 *KrytycznyKomponent o zamkniętym źródle
CVE-2023-33028A-290060590 *KrytycznyKomponent o zamkniętym źródle
CVE-2023-21673A-276750698 *WysokaKomponent o zamkniętym źródle
CVE-2023-22385A-276750699 *WysokaKomponent o zamkniętym źródle
CVE-2023-24843A-276750762 *WysokaKomponent o zamkniętym źródle
CVE-2023-24844A-276750872 *WysokaKomponent o zamkniętym źródle
CVE-2023-24847A-276751090 *WysokaKomponent o zamkniętym źródle
CVE-2023-24848A-276750995 *WysokaKomponent o zamkniętym źródle
CVE-2023-24849A-276751370 *WysokaKomponent o zamkniętym źródle
CVE-2023-24850A-276751108 *WysokaKomponent o zamkniętym źródle
CVE-2023-24853A-276751372 *WysokaKomponent o zamkniętym źródle
CVE-2023-33026A-290061996 *WysokaKomponent o zamkniętym źródle
CVE-2023-33027A-290061249 *WysokaKomponent o zamkniętym źródle

System

CVEBibliografiaTypKrytycznośćZaktualizowane wersje AOSP
CVE-2023-4863A-299477569RCEKrytyczna11, 12, 12L, 13
Idź do oryginalnego materiału