В этом бюллетене по безопасности содержится информация об уязвимостях в защите устройств Android. Все перечисленные здесь проблемы устранены в исправлении 2023-01-05 и более новых. Сведения о том, как проверить уровень исправления системы безопасности на устройстве, можно найти в статье об обновлении версии Android.
Мы сообщаем партнерам Android обо всех проблемах по крайней мере за месяц до выхода бюллетеня. Исходный код исправлений будет добавлен в хранилище Android Open Source Project (AOSP) в течение 48 часов. Ссылки на AOSP появятся в этом бюллетене позже.
Самая серьезная из проблем – уязвимость высокого уровня в компоненте Framework, которая позволяет злоумышленнику, не обладающему дополнительными правами на выполнение кода, локально повышать привилегии. Уровень серьезности зависит от того, какой ущерб может быть нанесен устройству при атаке с использованием уязвимости, если средства защиты будут отключены в целях разработки или их обойдет злоумышленник.
В разделе Предотвращение атак рассказывается, как платформа безопасности и Google Play Защита помогают снизить вероятность успешного использования уязвимостей Android.
Предотвращение атак
Здесь описано, как платформа безопасности Android и средства защиты сервисов, например Google Play Защита, помогают снизить вероятность использования уязвимостей Android.
- В новых версиях Android сложнее использовать многие уязвимости, поэтому мы рекомендуем всем своевременно обновлять систему.
- Команда, отвечающая за безопасность Android, активно отслеживает случаи злоупотребления с помощью Google Play Защиты и предупреждает пользователей об установке потенциально опасных приложений. Google Play Защита по умолчанию включена на телефонах и планшетах, использующих сервисы Google для мобильных устройств. Она особенно важна для тех, кто устанавливает приложения не из Google Play.
Описание уязвимостей (исправление системы безопасности 2023-01-01)
В этом разделе вы найдете подробную информацию обо всех уязвимостях, устраненных в исправлении системы безопасности 2023-01-01. Проблемы сгруппированы по компонентам, которые они затрагивают. Для каждого случая приведены описание и таблица, где указаны идентификаторы CVE, ссылки, тип уязвимости, уровень серьезности и, если применимо, версии AOSP. Где возможно, мы добавляем к идентификатору ошибки ссылку на опубликованное изменение (например, список AOSP). Если таких изменений несколько, дополнительные ссылки указываются в квадратных скобках. Устройства с Android 10 или более поздней версией ОС могут получать обновления системы безопасности, а также обновления системы через Google Play.
Framework
Самая серьезная уязвимость позволяет злоумышленнику, не обладающему дополнительными правами на выполнение кода, локально повышать привилегии.
| CVE | Ссылки | Тип | Уровень серьезности | Обновленные версии AOSP |
|---|---|---|---|---|
| CVE-2022-20456 | A-242703780 | EoP | Высокий | 10, 11, 12, 12L, 13 |
| CVE-2022-20489 | A-242703460 | EoP | Высокий | 10, 11, 12, 12L, 13 |
| CVE-2022-20490 | A-242703505 | EoP | Высокий | 10, 11, 12, 12L, 13 |
| CVE-2022-20492 | A-242704043 | EoP | Высокий | 10, 11, 12, 12L, 13 |
| CVE-2022-20493 | A-242846316 | EoP | Высокий | 10, 11, 12, 12L, 13 |
| CVE-2023-20912 | A-246301995 | EoP | Высокий | 13 |
| CVE-2023-20916 | A-229256049 | EoP | Высокий | 12, 12L |
| CVE-2023-20919 | A-252663068 | EoP | Высокий | 13 |
| CVE-2023-20920 | A-204584366 | EoP | Высокий | 10, 11, 12, 12L, 13 |
| CVE-2023-20921 | A-243378132 | EoP | Высокий | 10, 11, 12, 12L, 13 |
| CVE-2022-20494 | A-243794204 | DoS | Высокий | 10, 11, 12, 12L, 13 |
| CVE-2023-20922 | A-237291548 | DoS | Высокий | 11, 12, 12L, 13 |
Система
Самая серьезная уязвимость позволяет злоумышленнику, не обладающему дополнительными правами на выполнение кода, локально повышать привилегии BLE.
| CVE | Ссылки | Тип | Уровень серьезности | Обновленные версии AOSP |
|---|---|---|---|---|
| CVE-2022-20461 | A-228602963 | EoP | Высокий | 10, 11, 12, 12L, 13 |
| CVE-2023-20904 | A-246300272 | EoP | Высокий | 12L, 13 |
| CVE-2023-20905 | A-241387741 | EoP | Высокий | 10 |
| CVE-2023-20913 | A-246933785 | EoP | Высокий | 10, 11, 12, 12L, 13 |
| CVE-2023-20915 | A-246930197 | EoP | Высокий | 10, 11, 12, 12L, 13 |
Обновления системы через Google Play
Исправления указанных ниже уязвимостей включены в компоненты проекта Mainline.
| Подкомпонент | CVE |
|---|---|
| MediaProvider | CVE-2023-20912 |
Описание уязвимостей (исправление системы безопасности 2023-01-05)
В этом разделе вы найдете подробную информацию обо всех уязвимостях, устраненных в исправлении системы безопасности 2023-01-05. Проблемы сгруппированы по компонентам, которые они затрагивают. Для каждого случая приведены описание и таблица, где указаны идентификаторы CVE, ссылки, тип уязвимости, уровень серьезности и, если применимо, версии AOSP. Где возможно, мы добавляем к идентификатору ошибки ссылку на опубликованное изменение (например, список AOSP). Если таких изменений несколько, дополнительные ссылки указываются в квадратных скобках.
Ядро
Самая серьезная уязвимость позволяет удаленно выполнять код злоумышленнику, не обладающему дополнительными правами на это.
| CVE | Ссылки | Тип | Уровень серьезности | Подкомпонент |
|---|---|---|---|---|
| CVE-2022-42719 |
A-253642087
Upstream kernel [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] |
RCE | Критический | mac80211 |
| CVE-2022-42720 |
A-253642015
Upstream kernel [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] |
RCE | Критический | WLAN |
| CVE-2022-42721 |
A-253642088
Upstream kernel [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] |
RCE | Критический | Несколько модулей |
| CVE-2022-2959 |
A-244395411
Upstream kernel |
EoP | Высокий | Pipe |
Компоненты ядра
Самая серьезная уязвимость позволяет удаленно выполнять код злоумышленнику, не обладающему дополнительными правами на это.
| CVE | Ссылки | Тип | Уровень серьезности | Подкомпонент |
|---|---|---|---|---|
| CVE-2022-41674 |
A-253641805
Upstream kernel [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] |
RCE | Критический | WLAN |
| CVE-2023-20928 |
A-254837884
Upstream kernel |
EoP | Высокий | Драйвер Binder |
Ядро LTS
Обновлены указанные ниже версии ядра. Обновления зависят от версии ОС Android, которая использовалась в момент запуска устройства.
| Ссылки | Версия Android при запуске устройства | Минимальная версия ядра |
|---|---|---|
| A-224575820 | 12 | 5.10.101 |
Imagination Technologies
Эта уязвимость затрагивает компоненты Imagination Technologies. Подробную информацию можно получить от компании Imagination Technologies. Уровень серьезности этой проблемы определяется непосредственно компанией Imagination Technologies.
| CVE | Ссылки | Уровень серьезности | Подкомпонент | |
|---|---|---|---|---|
|
CVE-2022-20235 |
A-259967780 * | Высокий | Графический процессор PowerVR |
Компоненты MediaTek
Эти уязвимости затрагивают компоненты MediaTek. Подробную информацию можно получить от компании MediaTek. Уровень серьезности этих проблем определяется непосредственно компанией MediaTek.
| CVE | Ссылки | Уровень серьезности | Подкомпонент | |
|---|---|---|---|---|
|
CVE-2022-32635 |
A-257714327
M-ALPS07573237 * |
Высокий | GPS | |
|
CVE-2022-32636 |
A-257846591
M-ALPS07510064 * |
Высокий | keyinstall | |
|
CVE-2022-32637 |
A-257860658
M-ALPS07491374 * |
Высокий | Декодер HEVC |
Компоненты Unisoc
Эти уязвимости затрагивают компоненты Unisoc. Подробную информацию можно получить от компании Unisoc. Уровень серьезности этих проблем определяется непосредственно компанией Unisoc.
| CVE | Ссылки | Уровень серьезности | Подкомпонент | |
|---|---|---|---|---|
|
CVE-2022-44425 |
A-258731891
U-2028856 * |
Высокий | Ядро | |
|
CVE-2022-44426 |
A-258728978
U-2028856 * |
Высокий | Ядро | |
|
CVE-2022-44427 |
A-258736883
U-1888565 * |
Высокий | Ядро | |
|
CVE-2022-44428 |
A-258741356
U-1888565 * |
Высокий | Ядро | |
|
CVE-2022-44429 |
A-258743555
U-1981296 * |
Высокий | Ядро | |
|
CVE-2022-44430 |
A-258749708
U-1888565 * |
Высокий | Ядро | |
|
CVE-2022-44431 |
A-258741360
U-1981296 * |
Высокий | Ядро | |
|
CVE-2022-44432 |
A-258743558
U-1981296 * |
Высокий | Ядро | |
|
CVE-2022-44434 |
A-258760518
U-2064988 * |
Высокий | Android | |
|
CVE-2022-44435 |
A-258759189
U-2064988 * |
Высокий | Android | |
|
CVE-2022-44436 |
A-258760519
U-2064988 * |
Высокий | Android | |
|
CVE-2022-44437 |
A-258759192
U-2064988 * |
Высокий | Android | |
|
CVE-2022-44438 |
A-258760781
U-2064988 * |
Высокий | Android |
Компоненты Qualcomm
Указанные ниже уязвимости затрагивают компоненты Qualcomm и подробно описаны в бюллетенях по безопасности или оповещениях о безопасности Qualcomm. Уровень серьезности этих проблем определяется непосредственно компанией Qualcomm.
| CVE | Ссылки | Уровень серьезности | Подкомпонент | |
|---|---|---|---|---|
|
CVE-2022-22088 |
A-231156521
QC-CR#3052411 |
Критический | Bluetooth | |
|
CVE-2022-33255 |
A-250627529
QC-CR#3212699 |
Высокий | Bluetooth |
Компоненты Qualcomm с закрытым исходным кодом
Эти уязвимости затрагивают компоненты Qualcomm с закрытым исходным кодом и подробно описаны в бюллетенях по безопасности или в оповещениях системы безопасности Qualcomm. Уровень серьезности этих проблем определяется непосредственно компанией Qualcomm.
| CVE | Ссылки | Уровень серьезности | Подкомпонент | |
|---|---|---|---|---|
|
CVE-2021-35097 |
A-209469821 * | Критический | Компонент с закрытым исходным кодом | |
|
CVE-2021-35113 |
A-209469998 * | Критический | Компонент с закрытым исходным кодом | |
|
CVE-2021-35134 |
A-213239776 * | Критический | Компонент с закрытым исходным кодом | |
|
CVE-2022-23960 |
A-238203772 * | Высокий | Компонент с закрытым исходным кодом | |
|
CVE-2022-25725 |
A-238101314 * | Высокий | Компонент с закрытым исходным кодом | |
|
CVE-2022-25746 |
A-238106983 * | Высокий | Компонент с закрытым исходным кодом | |
|
CVE-2022-33252 |
A-250627159 * | Высокий | Компонент с закрытым исходным кодом | |
|
CVE-2022-33253 |
A-250627591 * | Высокий | Компонент с закрытым исходным кодом | |
|
CVE-2022-33266 |
A-250627569 * | Высокий | Компонент с закрытым исходным кодом | |
|
CVE-2022-33274 |
A-250627236 * | Высокий | Компонент с закрытым исходным кодом | |
|
CVE-2022-33276 |
A-250627271 * | Высокий | Компонент с закрытым исходным кодом | |
|
CVE-2022-33283 |
A-250627602 * | Высокий | Компонент с закрытым исходным кодом | |
|
CVE-2022-33284 |
A-250627218 * | Высокий | Компонент с закрытым исходным кодом | |
|
CVE-2022-33285 |
A-250627435 * | Высокий | Компонент с закрытым исходным кодом | |
|
CVE-2022-33286 |
A-250627240 * | Высокий | Компонент с закрытым исходным кодом |
Часто задаваемые вопросы
В этом разделе мы отвечаем на вопросы, которые могут возникнуть после прочтения бюллетеня.
1. Как определить, установлено ли на устройстве обновление, в котором устранены перечисленные проблемы?
Информацию о том, как проверить уровень исправления системы безопасности на устройстве, можно найти в статье об обновлении версии Android.
- В исправлении 2023-01-01 и более новых устранены все проблемы, соответствующие исправлению системы безопасности 2023-01-01.
- В исправлении 2023-01-05 и более новых устранены все проблемы, соответствующие исправлению системы безопасности 2023-01-05 и всем предыдущим исправлениям.
Производители устройств, распространяющие эти обновления, должны установить следующие уровни:
- [ro.build.version.security_patch]:[2023-01-01]
- [ro.build.version.security_patch]:[2023-01-05]
В обновлении системы через Google Play для некоторых устройств с Android 10 или более поздней версией ОС будет указана дата, совпадающая с датой исправления 2023-01-01. Подробные сведения об установке обновлений системы безопасности можно найти в этой статье.
2. Почему в этом бюллетене говорится о двух исправлениях системы безопасности?
Мы включили в этот бюллетень сведения о двух исправлениях, чтобы помочь нашим партнерам как можно скорее устранить уязвимости, затрагивающие все устройства Android. Рекомендуем партнерам Android решить все перечисленные выше проблемы и установить последнее исправление системы безопасности.
- На устройствах с исправлением 2023-01-01 должны быть устранены все охваченные им проблемы, а также уязвимости, упомянутые в предыдущих выпусках бюллетеня.
- На устройствах с исправлением 2023-01-05 или более новым должны быть решены все проблемы, описанные в этом бюллетене и предыдущих выпусках.
Рекомендуем партнерам собрать все исправления проблем в одно обновление.
3. Что означают сокращения в столбце Тип?
В этом столбце указан вид уязвимости по следующей классификации:
| Сокращение | Описание |
|---|---|
| RCE | Удаленное выполнение кода |
| EoP | Повышение уровня привилегий |
| ID | Раскрытие информации |
| DoS | Отказ в обслуживании |
| Н/Д | Классификация недоступна |
4. Что означает информация в столбце Ссылки?
В таблицах с описанием уязвимостей есть столбец Ссылки. Каждая запись в нем может содержать префикс, указывающий на источник ссылки, а именно:
| Префикс | Значение |
|---|---|
| A- | Идентификатор ошибки Android |
| QC- | Ссылочный номер Qualcomm |
| M- | Ссылочный номер MediaTek |
| N- | Ссылочный номер NVIDIA |
| B- | Ссылочный номер Broadcom |
| U- | Ссылочный номер UNISOC |
5. Что означает символ * рядом с идентификатором ошибки Android в столбце Ссылки?
Символ * означает, что исправление для уязвимости не опубликовано. Необходимое обновление обычно содержится в последних исполняемых файлах драйверов для устройств Pixel. Их можно скачать с сайта Google Developers.
6. Почему одни уязвимости описываются в этих бюллетенях, а другие – в бюллетенях по безопасности устройств (например, Pixel) и бюллетенях партнеров?
Здесь описаны уязвимости, которые необходимо устранить для соответствия последнему уровню исправления системы безопасности Android. Решать для этого проблемы, перечисленные в других бюллетенях по безопасности, необязательно. Некоторые производители, например Google, Huawei, LG, Motorola, Nokia и Samsung, также публикуют информацию о проблемах, связанных с безопасностью выпускаемых ими устройств Android и чипсетов.
Версии
| Версия | Дата | Примечания |
|---|---|---|
| 1.0 | 3 января 2023 г. | Бюллетень опубликован. |
| 2.0 | 10 января 2023 г. | Изменена таблица с идентификаторами CVE. |
| 2.1 | 1 февраля 2023 г. | Изменена таблица с идентификаторами CVE. |