Biuletyn bezpieczeństwa systemu Android zawiera szczegółowe informacje na temat luk w zabezpieczeniach urządzeń z systemem Android. Poprawki zabezpieczeń z wersji 2023-12-05 lub nowszej rozwiązują wszystkie te problemy.
Najpoważniejszym z tych problemów jest krytyczna luka w zabezpieczeniach komponentu System, która może prowadzić do zdalnego (bliższego/sąsiadującego) wykonania kodu bez konieczności posiadania dodatkowych uprawnień do wykonywania. Do wykorzystania nie jest wymagana interakcja użytkownika.
Szczegóły luki w zabezpieczeniach na poziomie poprawki zabezpieczeń 2023-12-01
Struktura
Najpoważniejsza luka w tej sekcji może prowadzić do zdalnej eskalacji uprawnień bez konieczności posiadania dodatkowych uprawnień do wykonywania. Do wykorzystania nie jest wymagana interakcja użytkownika.
| CVE | Bibliografia | Typ | Krytyczność | Zaktualizowane wersje AOSP |
| CVE-2023-40077 | A-298057702 | EoP | Krytyczna | 11, 12, 12L, 13, 14 |
| CVE-2023-40076 | A-303835719 | ID | Krytyczna | 14 |
| CVE-2023-40079 | A-278722815 | EoP | Wysoka | 14 |
| CVE-2023-40089 | A-294228721 | EoP | Wysoka | 14 |
| CVE-2023-40091 | A-283699145 | EoP | Wysoka | 11, 12, 12L, 13, 14 |
| CVE-2023-40094 | A-288896339 | EoP | Wysoka | 11, 12, 12L, 13, 14 |
| CVE-2023-40095 | A-273729172 | EoP | Wysoka | 11, 12, 12L, 13, 14 |
| CVE-2023-40096 | A-268724205 | EoP | Wysoka | 11, 12, 12L, 13, 14 |
| CVE-2023-40103 | A-197260547 | EoP | Wysoka | 14 |
| CVE-2023-45774 | A-288113797 | EoP | Wysoka | 11, 12, 12L, 13, 14 |
| CVE-2023-45777 | A-299930871 | EoP | Wysoka | 13, 14 |
| CVE-2023-21267 | A-218495634 | ID | Wysoka | 11, 12, 12L, 13, 14 |
| CVE-2023-40073 | A-287640400 | ID | Wysoka | 11, 12, 12L, 13, 14 |
| CVE-2023-40081 | A-284297452 | ID | Wysoka | 11, 12, 12L, 13, 14 |
| CVE-2023-40092 | A-288110451 | ID | Wysoka | 11, 12, 12L, 13, 14 |
| CVE-2023-40074 | A-247513680 | DoS | Wysoka | 11, 12, 12L, 13 |
| CVE-2023-40075 | A-281061287 | DoS | Wysoka | 11, 12, 12L, 13, 14 |
System
Najpoważniejsza luka w tej sekcji może prowadzić do zdalnego (bliższego/sąsiadującego) wykonania kodu bez konieczności posiadania dodatkowych uprawnień do wykonywania. Do wykorzystania nie jest wymagana interakcja użytkownika.
| CVE | Bibliografia | Typ | Krytyczność | Zaktualizowane wersje AOSP |
| CVE-2023-40088 | A-291500341 | RCE | Krytyczna | 11, 12, 12L, 13, 14 |
| CVE-2023-40078 | A-275626001 | EoP | Wysoka | 14 |
| CVE-2023-40080 | A-275057843 | EoP | Wysoka | 13, 14 |
| CVE-2023-40082 | A-290909089 | EoP | Wysoka | 14 |
| CVE-2023-40084 | A-272382770 | EoP | Wysoka | 11, 12, 12L, 13, 14 |
| CVE-2023-40087 | A-275895309 | EoP | Wysoka | 11, 12, 12L, 13, 14 |
| CVE-2023-40090 | A-274478807 | EoP | Wysoka | 11, 12, 12L, 13, 14 |
| CVE-2023-40097 | A-295334906 | EoP | Wysoka | 11, 12, 12L, 13 |
| CVE-2023-45773 | A-275057847 | EoP | Wysoka | 13, 14 |
| CVE-2023-45775 | A-275340684 | EoP | Wysoka | 14 |
| CVE-2023-45776 | A-282234870 | EoP | Wysoka | 14 |
| CVE-2023-21394 | A-296915211 | ID | Wysoka | 11, 12, 12L, 13 |
| CVE-2023-35668 | A-283962802 | ID | Wysoka | 11, 12, 12L, 13 |
| CVE-2023-40083 | A-277590580 | ID | Wysoka | 12, 12L, 13, 14 |
| CVE-2023-40098 | A-288896269 | ID | Wysoka | 12, 12L, 13, 14 |
| CVE-2023-45781 | A-275553827 | ID | Wysoka | 12, 12L, 13, 14 |
2023-12-05 Szczegóły luki w zabezpieczeniach na poziomie poprawki zabezpieczeń
System
Luka w tej sekcji może prowadzić do zdalnej (bliższej/sąsiadującej) eskalacji uprawnień bez konieczności posiadania dodatkowych uprawnień do wykonywania. Do wykorzystania nie jest wymagana interakcja użytkownika.
| CVE | Bibliografia | Typ | Krytyczność | Zaktualizowane wersje AOSP |
| CVE-2023-45866 | A-294854926 | EoP | Krytyczna | 11, 12, 12L, 13, 14 |
Elementy ramienia
Luki te dotyczą komponentów ARM, a dalsze szczegóły można uzyskać bezpośrednio od ARM. Ocenę dotkliwości tych problemów przeprowadza bezpośrednio Arm.
| CVE | Bibliografia | Krytyczność | Podskładnik |
| CVE-2023-3889 | A-295942985 * | Wysoka | Mali |
| CVE-2023-4272 | A-296910715 * | Wysoka | Mali |
| CVE-2023-32804 | A-272772567 * | Wysoka | Mali |
Technologie wyobraźni
Luki te dotyczą komponentów Imagination Technologies. Dalsze szczegóły można uzyskać bezpośrednio od Imagination Technologies. Ocena wagi tych problemów jest przeprowadzana bezpośrednio przez Imagination Technologies.
| CVE | Bibliografia | Krytyczność | Podskładnik |
| CVE-2023-21162 | A-292004168 * | Wysoka | PowerVR-GPU |
| CVE-2023-21163 | A-292003338 * | Wysoka | PowerVR-GPU |
| CVE-2023-21164 | A-292002918 * | Wysoka | PowerVR-GPU |
| CVE-2023-21166 | A-292002163 * | Wysoka | PowerVR-GPU |
| CVE-2023-21215 | A-291982610 * | Wysoka | PowerVR-GPU |
| CVE-2023-21216 | A-291999952 * | Wysoka | PowerVR-GPU |
| CVE-2023-21217 | A-292087506 * | Wysoka | PowerVR-GPU |
| CVE-2023-21218 | A-292000190 * | Wysoka | PowerVR-GPU |
| CVE-2023-21228 | A-291999439 * | Wysoka | PowerVR-GPU |
| CVE-2023-21263 | A-305095406 * | Wysoka | PowerVR-GPU |
| CVE-2023-21401 | A-305091236 * | Wysoka | PowerVR-GPU |
| CVE-2023-21402 | A-305093885 * | Wysoka | PowerVR-GPU |
| CVE-2023-21403 | A-305096969 * | Wysoka | PowerVR-GPU |
| CVE-2023-35690 | A-305095935 * | Wysoka | PowerVR-GPU |
| CVE-2023-21227 | A-291998937 * | Wysoka | PowerVR-GPU |
Komponenty MediaTeka
Luki te dotyczą komponentów MediaTek. Dalsze szczegóły można uzyskać bezpośrednio od MediaTek. Ocena wagi tych problemów jest przeprowadzana bezpośrednio przez firmę MediaTek.
| CVE | Bibliografia | Krytyczność | Podskładnik |
| CVE-2023-32818 | A-294770901 M-ALPS08013430, M-ALPS08163896 * | Wysoka | vdek |
| CVE-2023-32847 | A-302982512 M-ALPS08241940 * | Wysoka | audio |
| CVE-2023-32848 | A-302982513 M-ALPS08163896 * | Wysoka | vdek |
| CVE-2023-32850 | A-302983201 M-ALPS08016659 * | Wysoka | dekoder |
| CVE-2023-32851 | A-302986375 M-ALPS08016652 * | Wysoka | dekoder |
Różne OEM
Ta luka dotyczy różnych komponentów OEM. Dalsze szczegóły można uzyskać bezpośrednio od Misc OEM. Ocenę istotności tego problemu zapewnia bezpośrednio firma Misc OEM.
| CVE | Bibliografia | Krytyczność | Podskładnik |
| CVE-2023-45779 | A-301094654 * | Wysoka | Interfejs systemu |
Komponenty Unisoca
Luki te dotyczą komponentów Unisoc. Dalsze szczegóły można uzyskać bezpośrednio od Unisoc. Oceny dotkliwości tych problemów dokonuje bezpośrednio Unisoc.
| CVE | Bibliografia | Krytyczność | Podskładnik |
| CVE-2022-48456 | A-300376910 U-1914157 * | Wysoka | Jądro |
| CVE-2022-48461 | A-300368868 U-1905646 * | Wysoka | Jądro |
| CVE-2022-48454 | A-300382178 U-2220123 * | Wysoka | Android |
| CVE-2022-48455 | A-300385151 U-2220123 * | Wysoka | Android |
| CVE-2022-48457 | A-300368872 U-2161952 * | Wysoka | Android |
| CVE-2022-48458 | A-300368874 U-2161952 * | Wysoka | Android |
| CVE-2022-48459 | A-300368875 U-2161952 * | Wysoka | Android |
Komponenty Qualcomma
Luki te dotyczą komponentów Qualcomm i są szczegółowo opisane we właściwym biuletynie bezpieczeństwa Qualcomm lub alercie bezpieczeństwa. Oceny istotności tych problemów dokonuje bezpośrednio Qualcomm.
| CVE | Bibliografia | Krytyczność | Podskładnik |
| CVE-2023-28588 | A-285902729 QC-CR#3417458 | Wysoka | Bluetooth |
| CVE-2023-33053 | A-299146326 QC-CR#3453941 | Wysoka | Jądro |
| CVE-2023-33063 | A-266568298 QC-CR#3447219 [ 2 ] | Wysoka | Jądro |
| CVE-2023-33079 | A-299146464 QC-CR#3446191 | Wysoka | Audio |
| CVE-2023-33087 | A-299146536 QC-CR#3508356 [ 2 ] | Wysoka | Jądro |
| CVE-2023-33092 | A-299146537 QC-CR#3507292 | Wysoka | Bluetooth |
| CVE-2023-33106 | A-300941008 QC-CR#3612841 | Wysoka | Wyświetlacz |
| CVE-2023-33107 | A-299649795 QC-CR#3611296 | Wysoka | Wyświetlacz |
Komponenty Qualcomm o zamkniętym kodzie źródłowym
Luki te dotyczą komponentów Qualcomm o zamkniętym kodzie źródłowym i są opisane bardziej szczegółowo we właściwym biuletynie bezpieczeństwa Qualcomm lub alercie bezpieczeństwa. Oceny istotności tych problemów dokonuje bezpośrednio Qualcomm.
| CVE | Bibliografia | Krytyczność | Podskładnik |
| CVE-2022-40507 | A-261468680 * | Krytyczna | Komponent o zamkniętym źródle |
| CVE-2022-22076 | A-261469325 * | Wysoka | Komponent o zamkniętym źródle |
| CVE-2023-21652 | A-268059928 * | Wysoka | Komponent o zamkniętym źródle |
| CVE-2023-21662 | A-271879599 * | Wysoka | Komponent o zamkniętym źródle |
| CVE-2023-21664 | A-271879160 * | Wysoka | Komponent o zamkniętym źródle |
| CVE-2023-28546 | A-285902568 * | Wysoka | Komponent o zamkniętym źródle |
| CVE-2023-28550 | A-280341535 * | Wysoka | Komponent o zamkniętym źródle |
| CVE-2023-28551 | A-280341572 * | Wysoka | Komponent o zamkniętym źródle |
| CVE-2023-28585 | A-285902652 * | Wysoka | Komponent o zamkniętym źródle |
| CVE-2023-28586 | A-285903022 * | Wysoka | Komponent o zamkniętym źródle |
| CVE-2023-28587 | A-285903202 * | Wysoka | Komponent o zamkniętym źródle |
| CVE-2023-33017 | A-285902412 * | Wysoka | Komponent o zamkniętym źródle |
| CVE-2023-33018 | A-285902728 * | Wysoka | Komponent o zamkniętym źródle |
| CVE-2023-33022 | A-285903201 * | Wysoka | Komponent o zamkniętym źródle |
| CVE-2023-33054 | A-295020170 * | Wysoka | Komponent o zamkniętym źródle |
| CVE-2023-33080 | A-299147105 * | Wysoka | Komponent o zamkniętym źródle |
| CVE-2023-33081 | A-299145668 * | Wysoka | Komponent o zamkniętym źródle |
| CVE-2023-33088 | A-299146964 * | Wysoka | Komponent o zamkniętym źródle |
| CVE-2023-33089 | A-299146027 * | Wysoka | Komponent o zamkniętym źródle |
| CVE-2023-33097 | A-299147106 * | Wysoka | Komponent o zamkniętym źródle |
| CVE-2023-33098 | A-299146466 * | Wysoka | Komponent o zamkniętym źródle |
