Biuletyn bezpieczeństwa w Androidzie – sierpień 2022 r.

Opublikowano 1 sierpnia 2022 r. | Zaktualizowano 17 sierpnia 2022 r.

Biuletyn o bezpieczeństwie Androida zawiera szczegółowe informacje o lukach w zabezpieczeniach, które wpływają na urządzenia z Androidem. Wszystkie te problemy są rozwiązane w poziomach poprawek zabezpieczeń z 5 sierpnia 2022 r. lub nowszych. Aby dowiedzieć się, jak sprawdzić poziom poprawek zabezpieczeń urządzenia, przeczytaj artykuł Sprawdzanie i aktualizowanie wersji Androida.

Partnerzy Androida są powiadamiani o wszystkich problemach co najmniej miesiąc przed publikacją. Poprawki kodu źródłowego dotyczące tych problemów zostały opublikowane w repozytorium Projektu Android Open Source (AOSP) i połączone z tym biuletynem. Ten biuletyn zawiera też linki do poprawek poza AOSP.

Najpoważniejszym z tych problemów jest krytyczna luka w zabezpieczeniach w komponencie System, która może prowadzić do zdalnego uruchamiania kodu przez Bluetooth bez konieczności posiadania dodatkowych uprawnień do wykonywania. Ocena dotkliwości jest oparta na wpływie, jaki luka w zabezpieczeniach może mieć na urządzenie, przy założeniu, że zabezpieczenia platformy i usługi są wyłączone na potrzeby rozwoju lub że luka została pomyślnie ominięta.

Szczegółowe informacje o środkach ochrony na platformie Android i Google Play Protect, które zwiększają bezpieczeństwo platformy Android, znajdziesz w sekcji Środki ochrony Androida i Google Play Protect.

Środki zaradcze dotyczące Androida i usług Google

Oto podsumowanie zabezpieczeń oferowanych przez platformę zabezpieczeń Android oraz zabezpieczenia usług, takich jak Google Play Protect. Te funkcje zmniejszają prawdopodobieństwo, że luki w zabezpieczeniach zostaną wykorzystane na urządzeniach z Androidem.

  • Wykorzystanie wielu luk w Androidzie jest utrudnione przez ulepszenia w nowszych wersjach platformy Android. Zachęcamy wszystkich użytkowników do zaktualizowania systemu Android do najnowszej wersji, o ile to możliwe.
  • Zespół ds. bezpieczeństwa Androida aktywnie monitoruje przypadki nadużyć za pomocą Google Play Protect i ostrzega użytkowników o potencjalnie szkodliwych aplikacjach. Google Play Protect jest domyślnie włączona na urządzeniach z Usługami mobilnymi Google. Jest to szczególnie ważne dla użytkowników, którzy instalują aplikacje spoza Google Play.

2022-08-01 szczegóły luki w zabezpieczeniach na poziomie poprawki zabezpieczeń

W sekcjach poniżej znajdziesz szczegółowe informacje o każdej z luk w zabezpieczeniach, które dotyczą poziomu poprawek z 01.08.2022. Luki w zabezpieczeniach są pogrupowane według komponentu, którego dotyczą. Problemy są opisane w tabelach poniżej i zawierają identyfikator CVE, powiązane odniesienia, typ luki, powagę oraz zaktualizowane wersje AOSP (w stosownych przypadkach). W razie możliwości łączymy publiczną zmianę, która rozwiązała problem, z identyfikatorem błędu, np. z listą zmian w AOSP. Jeśli pojedynczy błąd dotyczy wielu zmian, dodatkowe odniesienia są połączone z liczbami po identyfikatorze błędu. Urządzenia z Androidem 10 lub nowszym mogą otrzymywać aktualizacje zabezpieczeń, a także aktualizacje systemowe Google Play.

Platforma

Najpoważniejsza luka w tym rozdziale może prowadzić do lokalnego podwyższenia uprawnień bez konieczności uzyskania dodatkowych uprawnień do wykonania.

CVE Pliki referencyjne Typ Poziom Zaktualizowane wersje AOSP
CVE-2021-39696 A-185810717 [2] EoP Wysoki 10, 11, 12
CVE-2022-20344 A-232541124 [2] EoP Wysoki 10, 11, 12, 12L
CVE-2022-20348 A-228315529 [2] EoP Wysoki 10, 11, 12, 12L
CVE-2022-20349 A-228315522 [2] EoP Wysoki 10, 11, 12, 12L
CVE-2022-20356 A-215003903 [2] EoP Wysoki 11, 12, 12L
CVE-2022-20350 A-228178437 [2] [3] [4] [5] ID Wysoki 10, 11, 12, 12L
CVE-2022-20352 A-222473855 [2] ID Wysoki 12, 12 L
CVE-2022-20357 A-214999987 [2] ID Wysoki 12, 12 L
CVE-2022-20358 A-203229608 [2] ID Wysoki 10, 11, 12, 12L

Platforma Media

Najpoważniejsza luka w zabezpieczeniach w tej sekcji może prowadzić do zdalnego ujawnienia informacji bez konieczności posiadania dodatkowych uprawnień do wykonywania.

CVE Pliki referencyjne Typ Poziom Zaktualizowane wersje AOSP
CVE-2022-20346 A-230493653 [2] ID Wysoki 10, 11, 12, 12L
CVE-2022-20353 A-221041256 [2] [3] [4] [5] [6] ID Wysoki 10, 11, 12, 12L

System

Najpoważniejsza luka w zabezpieczeniach w tej sekcji może prowadzić do zdalnego uruchamiania kodu przez Bluetooth bez dodatkowych uprawnień do wykonywania.

CVE Pliki referencyjne Typ Poziom Zaktualizowane wersje AOSP
CVE-2022-20345 A-230494481 [2] RCE Krytyczny 12, 12 L
CVE-2022-20347 A-228450811 [2] EoP Wysoki 10, 11, 12, 12L
CVE-2022-20354 A-219546241 [2] EoP Wysoki 11, 12, 12L
CVE-2022-20360 A-228314987 [2] EoP Wysoki 10, 11, 12, 12L
CVE-2022-20361 A-231161832 [2] EoP Wysoki 10, 11, 12, 12L
CVE-2022-20355 A-219498290 [2] DoS Wysoki 10, 11, 12, 12L

Aktualizacje systemowe Google Play

Komponenty projektu Mainline obejmują te problemy:

Komponent CVE
Komponenty Media Framework CVE-2022-20346

2022-08-05 szczegóły luki w zabezpieczeniach na poziomie aktualizacji zabezpieczeń

W sekcjach poniżej znajdziesz szczegółowe informacje o każdej z luk w zabezpieczeniach, które dotyczą poziomu poprawek z 5 sierpnia 2022 r. Luki w zabezpieczeniach są pogrupowane według komponentu, którego dotyczą. Problemy są opisane w tabelach poniżej i zawierają identyfikator CVE, powiązane odniesienia, typ luki, powagę oraz zaktualizowane wersje AOSP (w stosownych przypadkach). W razie możliwości łączymy publiczną zmianę, która rozwiązała problem, z identyfikatorem błędu, np. z listą zmian w AOSP. Jeśli pojedynczy błąd dotyczy wielu zmian, dodatkowe odniesienia są połączone z liczbami po identyfikatorze błędu.

Komponenty jądra

Użytkownik lokalny może wykorzystać podatność opisaną w tej sekcji, aby uzyskać uprawnienia lokalne, które wymagają uprawnień do wykonywania.

CVE Pliki referencyjne Typ Poziom Komponent
CVE-2022-1786 A-233078742
Kernel upstream
EoP Wysoki System plików (fs)

Imagination Technologies

Te luki w zabezpieczeniach dotyczą komponentów Imagination Technologies. Więcej informacji można uzyskać bezpośrednio od Imagination Technologies. Ocena powagi tych problemów jest podawana bezpośrednio przez Imagination Technologies.

CVE Pliki referencyjne Poziom Komponent
CVE-2021-0698
A-236848165* Wysoki PowerVR-GPU
CVE-2021-0887
A-236848817* Wysoki PowerVR-GPU
CVE-2021-0891 A-236849490* Wysoki PowerVR-GPU
CVE-2021-0946
A-236846966* Wysoki PowerVR-GPU
CVE-2021-0947
A-236838960* Wysoki PowerVR-GPU
CVE-2021-39815 A-232440670* Wysoki PowerVR-GPU
CVE-2022-20122 A-232441339* Wysoki PowerVR-GPU

Komponenty MediaTek

Ta luka w zabezpieczeniach dotyczy komponentów MediaTek. Więcej informacji można uzyskać bezpośrednio od firmy MediaTek. Ocena powagi tego problemu jest dostarczana bezpośrednio przez MediaTek.

CVE Pliki referencyjne Poziom Komponent
CVE-2022-20082 A-231271467
M-ALPS07044730*
Wysoki GPU

Komponenty Unisoc

Ta luka dotyczy komponentów Unisoc. Więcej informacji można uzyskać bezpośrednio od Unisoc. Ocena powagi tego problemu jest dostarczana bezpośrednio przez Unisoc.

CVE Pliki referencyjne Poziom Komponent
CVE-2022-20239 A-233972091
U-1883877*
Wysoki VSP

Komponenty Qualcomm

Ta luka w zabezpieczeniach dotyczy komponentów Qualcomm i jest opisana w odpowiednim biuletynie lub alertu zabezpieczeń Qualcomm. Ocena powagi tego problemu jest dostarczana bezpośrednio przez firmę Qualcomm.

CVE Pliki referencyjne Poziom Komponent
CVE-2022-22080
A-231156274
QC-CR#2898981
Wysoki Audio

Komponenty Qualcomm o zamkniętym kodzie źródłowym

Te luki w zabezpieczeniach dotyczą komponentów Qualcomm o zamkniętym kodzie źródłowym i są opisane bardziej szczegółowo w odpowiednim biuletynie lub ostrzeżeniu dotyczącym zabezpieczeń Qualcomm. Ocena stopnia ważności tych problemów jest dostarczana bezpośrednio przez firmę Qualcomm.

CVE Pliki referencyjne Poziom Komponent
CVE-2021-30259 A-187074564* Wysoki Komponent zamkniętego źródła
CVE-2022-22059 A-231156126* Wysoki Komponent zamkniętego źródła
CVE-2022-22061 A-218338332* Wysoki Komponent zamkniętego źródła
CVE-2022-22062
A-218338070* Wysoki Komponent zamkniętego źródła
CVE-2022-22067 A-218338889* Wysoki Komponent zamkniętego źródła
CVE-2022-22069 A-218339148* Wysoki Komponent zamkniętego źródła
CVE-2022-22070 A-218338870* Wysoki Komponent zamkniętego źródła
CVE-2022-25668 A-231156523* Wysoki Komponent zamkniętego źródła

Najczęstsze pytania i odpowiedzi

W tej sekcji znajdziesz odpowiedzi na najczęstsze pytania, które mogą pojawić się po przeczytaniu tego biuletynu.

1. Jak sprawdzić, czy moje urządzenie jest zaktualizowane i czy rozwiązuje te problemy?

Aby dowiedzieć się, jak sprawdzić poziom poprawek zabezpieczeń urządzenia, przeczytaj artykuł Sprawdzanie i aktualizowanie wersji Androida.

  • Poziomy aktualizacji zabezpieczeń z 1 sierpnia 2022 r. lub nowsze rozwiązują wszystkie problemy związane z poziomem aktualizacji zabezpieczeń z 1 sierpnia 2022 r.
  • Poziomy aktualizacji zabezpieczeń z 5 sierpnia 2022 r. lub nowsze rozwiązują wszystkie problemy związane z poziomem aktualizacji zabezpieczeń z 5 sierpnia 2022 r. i wszystkimi poprzednimi poziomami.

Producenci urządzeń, którzy udostępniają te aktualizacje, powinni ustawić poziom ciągu aktualizacji na:

  • [ro.build.version.security_patch]:[2022-08-01]
  • [ro.build.version.security_patch]:[2022-08-05]

W przypadku niektórych urządzeń z Androidem w wersji 10 lub nowszej aktualizacja systemu Google Play będzie miała ciąg daty odpowiadający poziomowi poprawki zabezpieczeń z 01.08.2022. Więcej informacji o instalowaniu aktualizacji zabezpieczeń znajdziesz w tym artykule.

2. Dlaczego w tym komunikacie są 2 poziomy aktualizacji zabezpieczeń?

W tym komunikacie znajdują się 2 poziomy poprawek zabezpieczeń, dzięki którym partnerzy Androida mogą szybciej naprawiać podzbiór podobnych luk we wszystkich urządzeniach z Androidem. Partnerów Androida zachęcamy do rozwiązania wszystkich problemów opisanych w tym biuletynie i zastosowania najnowszej poprawki zabezpieczeń.

  • Urządzenia korzystające z poziomu zabezpieczeń z 2022-08-01 muszą obejmować wszystkie problemy związane z tym poziomem zabezpieczeń, a także poprawki dla wszystkich problemów zgłoszonych w poprzednich biuletynach bezpieczeństwa.
  • Urządzenia z poziomem poprawek zabezpieczeń z 5 sierpnia 2022 r. lub nowszym muszą zawierać wszystkie poprawki zabezpieczeń z tego (i poprzednich) komunikatu(ów) o błędach zabezpieczeń.

Zachęcamy partnerów do łączenia poprawek dotyczących wszystkich problemów w jednym pakiecie.

3. Co oznaczają wpisy w kolumnie Typ?

Wpisy w kolumnie Typ w tabeli szczegółów podatności odnoszą się do klasyfikacji podatności na zagrożenia.

Skrót Definicja
RCE Zdalne wykonywanie kodu
EoP Podniesienie uprawnień
ID Ujawnianie informacji
DoS Atak typu DoS
Nie dotyczy Klasyfikacja niedostępna

4. Co oznaczają wpisy w kolumnie Odniesienia?

Wpisy w kolumnie Odniesienia w tabeli szczegółów podatności mogą zawierać prefiks identyfikujący organizację, do której należy wartość odniesienia.

Prefiks Źródła wiedzy
A- Identyfikator błędu na Androidzie
QC- Numer referencyjny Qualcomm
M- Numer referencyjny MediaTek
N- Numer referencyjny NVIDIA
B- Numer referencyjny Broadcom
U- Numer referencyjny UNISOC

5. Co oznacza znak * obok identyfikatora błędu Androida w kolumnie Odniesienia?

Problemy, które nie są dostępne publicznie, mają * obok odpowiedniego identyfikatora referencyjnego. Aktualizacja dotycząca tego problemu jest zwykle zawarta w najnowszych binarnych sterownikach urządzeń Pixel dostępnych na stronie dla deweloperów Google.

6. Dlaczego luki w zabezpieczeniach są podzielone na ten biuletyn i biuletyny dotyczące zabezpieczeń urządzeń lub partnerów, takie jak biuletyn dotyczący Pixela?

Użytkownicy muszą zadeklarować najnowszy stan aktualizacji zabezpieczeń na urządzeniach z Androidem, aby móc korzystać z luk w zabezpieczeniach opisanych w tym biuletynie. Dodatkowe luki w zabezpieczeniach opisane w biuletynach dotyczących zabezpieczeń urządzeń i partnerów nie są wymagane do zadeklarowania poziomu aktualizacji zabezpieczeń. Producenci urządzeń i chipsetów z Androidem mogą też publikować informacje o lukach w zabezpieczeniach dotyczących ich produktów, takich jak Google, Huawei, LGE, Motorola, Nokia lub Samsung.

Wersje

Wersja Data Uwagi
1,0 1 sierpnia 2022 roku Biuletyn opublikowany
1,1 3 sierpnia 2022 r. Wprowadziliśmy zmiany w powiadomieniu, aby zawierało linki do AOSP