Android 安全公告 - 2022 年 11 月

透過集合功能整理內容 你可以依據偏好儲存及分類內容。
發表於 2022 年 11 月 7 日 |更新於 2022 年 11 月 9 日

Android 安全公告包含影響 Android 設備的安全漏洞的詳細信息。 2022-11-05 或更高級別的安全補丁程序解決了所有這些問題。要了解如何檢查設備的安全補丁級別,請參閱檢查並更新您的 Android 版本

Android 合作夥伴會在發布前至少一個月收到所有問題的通知。針對這些問題的源代碼補丁已發佈到 Android 開源項目 (AOSP) 存儲庫並從此公告鏈接。此公告還包括指向 AOSP 之外的補丁程序的鏈接。

這些問題中最嚴重的是 Framework 組件中的一個高安全漏洞,它可能導致本地權限升級而無需額外的執行權限。嚴重性評估基於利用漏洞可能對受影響設備產生的影響,假設平台和服務緩解措施已關閉以用於開發目的或成功繞過。

有關提高 Android 平台安全性的Android 安全平台保護和 Google Play Protect 的詳細信息,請參閱Android 和 Google Play Protect 緩解措施部分。

Android 和 Google 服務緩解措施

這是Android 安全平台和服務保護(例如Google Play Protect )提供的緩解措施的摘要。這些功能降低了在 Android 上成功利用安全漏洞的可能性。

  • Android 平台較新版本的增強功能使得利用 Android 上的許多問題變得更加困難。我們鼓勵所有用戶盡可能更新到最新版本的 Android。
  • Android 安全團隊通過Google Play Protect積極監控濫用情況,並就潛在有害應用程序向用戶發出警告。默認情況下,Google Play Protect 在具有Google Mobile Services的設備上啟用,對於從 Google Play 外部安裝應用程序的用戶來說尤為重要。

2022-11-01 安全補丁級別漏洞詳情

在下面的部分中,我們提供了適用於 2022-11-01 補丁級別的每個安全漏洞的詳細信息。漏洞被分組在它們影響的組件下。下表描述了問題,包括 CVE ID、相關參考、漏洞類型嚴重性和更新的 AOSP 版本(如果適用)。如果可用,我們會將解決問題的公共更改鏈接到錯誤 ID,例如 AOSP 更改列表。當多個更改與單個錯誤相關時,其他參考鏈接到錯誤 ID 後面的數字。搭載 Android 10 及更高版本的設備可能會收到安全更新以及Google Play 系統更新

框架

這一部分中最嚴重的漏洞可能導致本地權限提升,而無需額外的執行權限。

CVE參考類型嚴重性更新的 AOSP 版本
CVE-2022-2209 A-235601882期末高的10、11、12、12L、13
CVE-2022-20441 A-238605611期末高的10、11、12、12L、13
CVE-2022-20446 A-229793943期末高的10, 11
CVE-2022-20448 A-237540408期末高的10、11、12、12L、13
CVE-2022-20450 A-210065877期末高的10、11、12、12L、13
CVE-2022-20452 A-240138318期末高的13
CVE-2022-20457 A-243924784期末高的13

多個組件

此部分中的漏洞可能導致本地拒絕服務,無需額外的執行權限。

CVE參考類型嚴重性更新的 AOSP 版本
CVE-2022-20426 A-236263294 [ 2 ]拒絕服務高的10、11、12、12L、13

系統

這一部分中最嚴重的漏洞可能導致本地權限提升,而無需額外的執行權限。

CVE參考類型嚴重性更新的 AOSP 版本
CVE-2022-20451 A-235098883期末高的10、11、12、12L、13
CVE-2022-20454 A-242096164期末高的10、11、12、12L、13
CVE-2022-20462 A-230356196期末高的10、11、12、12L、13
CVE-2022-20465 A-218500036期末高的10、11、12、12L、13
CVE-2022-20445 A-225876506 ID高的10、11、12、12L、13
CVE-2022-20447 A-233604485 ID高的13
CVE-2022-20414 A-234441463 [ 2 ]拒絕服務高的10、11、12、12L、13
CVE-2022-20453 A-240685104拒絕服務高的10、11、12、12L、13

Google Play 系統更新

Project Mainline 組件中包含以下問題。

子組件CVE
媒體框架組件CVE-2022-2209
無線上網CVE-2022-20463

2022-11-05 安全補丁級漏洞詳情

在下面的部分中,我們提供了適用於 2022-11-05 補丁級別的每個安全漏洞的詳細信息。漏洞被分組在它們影響的組件下。下表描述了問題,包括 CVE ID、相關參考、漏洞類型嚴重性和更新的 AOSP 版本(如果適用)。如果可用,我們會將解決問題的公共更改鏈接到錯誤 ID,例如 AOSP 更改列表。當多個更改與單個錯誤相關時,其他參考鏈接到錯誤 ID 後面的數字。

想像力技術

這些漏洞影響 Imagination Technologies 組件,更多詳細信息可直接從 Imagination Technologies 獲取。這些問題的嚴重性評估直接由 Imagination Technologies 提供。

CVE參考嚴重性子組件
CVE-2021-1050 A-243825200 *高的PowerVR-GPU
CVE-2021-39661 A-246824784 *高的PowerVR-GPU

聯發科組件

這些漏洞影響 MediaTek 組件,更多詳細信息可直接從 MediaTek 獲取。這些問題的嚴重性評估由聯發科技直接提供。

CVE參考嚴重性子組件
CVE-2022-32601 A-234038598
M-ALPS07319132 *
高的電話
CVE-2022-32602 A-245050053
M-ALPS07388790 *
高的密鑰安裝

紫光元器件

這些漏洞影響 Unisoc 組件,更多詳細信息可直接從 Unisoc 獲得。這些問題的嚴重性評估由紫光展銳直接提供。

CVE參考嚴重程度子組件
CVE-2022-2984 A-244673210
U-1901978 *
高的核心
CVE-2022-2985 A-244657985
U-1882490 *
高的安卓
CVE-2022-38669 A-244666286
U-1883755 *
高的安卓
CVE-2022-38670 A-244674480
U-1883755 *
高的安卓
CVE-2022-39105 A-245210875
U-1830881 *
高的核心
CVE-2022-38672 A-244684957
U-1957128 *
高的核心
CVE-2022-38673 A-246482122
U-1957128 *
高的核心
CVE-2022-38676 A-244683429
U-1908118 *
高的核心
CVE-2022-38690 A-244109033
U-1914157 *
高的核心

高通組件

這些漏洞會影響 Qualcomm 組件,並在相應的 Qualcomm 安全公告或安全警報中進行了更詳細的描述。這些問題的嚴重性評估由高通直接提供。

CVE參考嚴重性子組件
CVE-2022-25724 A-238106223
QC-CR#3090325 [ 2 ] [ 3 ]
高的展示
CVE-2022-25741 A-240972788
QC-CR#3147273
高的無線局域網
CVE-2022-25743 A-240973083
QC-CR#3153406
高的展示

高通閉源組件

這些漏洞會影響 Qualcomm 閉源組件,並在相應的 Qualcomm 安全公告或安全警報中進行了更詳細的描述。這些問題的嚴重性評估由高通直接提供。

CVE參考嚴重性子組件
CVE-2021-35122 A-213239915 *批判的閉源組件
CVE-2021-35108 A-209469945 *高的閉源組件
CVE-2021-35109 A-209469824 *高的閉源組件
CVE-2021-35132 A-213240063 *高的閉源組件
CVE-2021-35135 A-213239949 *高的閉源組件
CVE-2022-25671 A-231156429 *高的閉源組件
CVE-2022-33234 A-240971780 *高的閉源組件
CVE-2022-33236 A-240973180 *高的閉源組件
CVE-2022-33237 A-240972236 *高的閉源組件
CVE-2022-33239 A-240982982 *高的閉源組件

常見問題與解答

本節回答閱讀本公告後可能出現的常見問題。

1. 如何確定我的設備是否已更新以解決這些問題?

要了解如何檢查設備的安全補丁級別,請參閱檢查並更新您的 Android 版本

  • 2022-11-01 或更高級別的安全補丁程序解決了與 2022-11-01 安全補丁程序級別相關的所有問題。
  • 2022-11-05 或更高版本的安全補丁程序級別解決了與 2022-11-05 安全補丁程序級別和所有以前的補丁程序級別相關的所有問題。

包含這些更新的設備製造商應將補丁字符串級別設置為:

  • [ro.build.version.security_patch]:[2022-11-01]
  • [ro.build.version.security_patch]:[2022-11-05]

對於某些運行 Android 10 或更高版本的設備,Google Play 系統更新將具有與 2022-11-01 安全補丁級別匹配的日期字符串。有關如何安裝安全更新的更多詳細信息,請參閱本文

2. 為什麼本公告有兩個安全補丁級別?

此公告有兩個安全補丁程序級別,因此 Android 合作夥伴可以靈活地更快地修復所有 Android 設備上相似的部分漏洞。鼓勵 Android 合作夥伴解決此公告中的所有問題並使用最新的安全補丁程序級別。

  • 使用 2022-11-01 安全補丁級別的設備必須包含與該安全補丁級別相關的所有問題,以及針對之前安全公告中報告的所有問題的修復。
  • 使用 2022-11-05 或更高版本安全補丁程序級別的設備必須包含此(和之前的)安全公告中的所有適用補丁程序。

鼓勵合作夥伴將他們正在解決的所有問題的修復捆綁在一個更新中。

3.類型欄中的條目是什麼意思?

漏洞詳細信息表的類型列中的條目引用安全漏洞的分類。

縮寫定義
RCE遠程代碼執行
期末特權提升
ID信息披露
拒絕服務拒絕服務
不適用分類不可用

4. References欄中的條目是什麼意思?

漏洞詳細信息表的參考列下的條目可能包含一個前綴,用於標識參考值所屬的組織。

字首參考
一個-安卓漏洞編號
質檢-高通參考編號
M-聯發科參考編號
N- NVIDIA 參考編號
B-博通參考編號
U-紫光展銳參考編號

5. References欄中Android bug ID 旁邊的* 是什麼意思?

未公開發布的問題在相應的參考 ID 旁邊有一個 *。該問題的更新通常包含在可從Google Developer 站點獲得的 Pixel 設備的最新二進制驅動程序中。

6. 為什麼將安全漏洞分為本公告和設備/合作夥伴安全公告,例如 Pixel 公告?

此安全公告中記錄的安全漏洞需要在 Android 設備上聲明最新的安全補丁程序級別。設備/合作夥伴安全公告中記錄的其他安全漏洞不需要聲明安全補丁程序級別。 Android 設備和芯片組製造商也可能會發布特定於其產品的安全漏洞詳細信息,例如穀歌華為LGE摩托羅拉諾基亞三星

版本

版本日期筆記
1.0 2022 年 11 月 7 日公告發布
1.1 2022 年 11 月 9 日公告已修訂以包含 AOSP 鏈接
2.0 2022 年 12 月 7 日修訂後的 CVE 表