Android 安全公告 - 2023 年 3 月

发表于 2023 年 3 月 6 日 | 2023 年 5 月 8 日更新

Android 安全公告包含影响 Android 设备的安全漏洞的详细信息。 2023-03-05 或更高级别的安全补丁程序解决了所有这些问题。要了解如何检查设备的安全补丁级别,请参阅检查并更新您的 Android 版本

Android 合作伙伴会在发布前至少一个月收到所有问题的通知。针对这些问题的源代码补丁已发布到 Android 开源项目 (AOSP) 存储库并从此公告链接。此公告还包括指向 AOSP 之外的补丁程序的链接。

这些问题中最严重的是系统组件中的一个严重安全漏洞,可能导致远程代码执行而无需额外的执行权限。开发不需要用户交互。严重性评估基于利用漏洞可能对受影响设备产生的影响,假设平台和服务缓解措施已关闭以用于开发目的或成功绕过。

有关提高 Android 平台安全性的 Android 安全平台保护和 Google Play Protect 的详细信息,请参阅Android 和 Google Play Protect 缓解措施部分。

Android 和 Google 服务缓解措施

这是Android 安全平台和服务保护(例如Google Play Protect)提供的缓解措施的摘要。这些功能降低了在 Android 上成功利用安全漏洞的可能性。

  • Android 平台较新版本的增强功能使得利用 Android 上的许多问题变得更加困难。我们鼓励所有用户尽可能更新到最新版本的 Android。
  • Android 安全团队通过Google Play Protect积极监控滥用情况,并就潜在有害应用程序向用户发出警告。默认情况下,Google Play Protect 在具有Google Mobile Services 的设备上启用,对于从 Google Play 外部安装应用程序的用户来说尤为重要。

2023-03-01 安全补丁级漏洞详情

在下面的部分中,我们提供了适用于 2023-03-01 补丁级别的每个安全漏洞的详细信息。漏洞被分组在它们影响的组件下。下表描述了问题,包括 CVE ID、相关参考、漏洞类型严重性和更新的 AOSP 版本(如果适用)。如果可用,我们会将解决问题的公共更改链接到错误 ID,例如 AOSP 更改列表。当多个更改与单个错误相关时,其他参考链接到错误 ID 后面的数字。搭载 Android 10 及更高版本的设备可能会收到安全更新以及Google Play 系统更新

框架

这部分中最严重的漏洞可能会导致在将应用更新到更高版本的 Target SDK 后本地提权,而无需额外的执行权限。开发不需要用户交互。

CVE参考类型严重程度更新的 AOSP 版本
CVE-2023-20906 A-221040577期末高的11, 12, 12L, 13
CVE-2023-20911 A-242537498期末高的11, 12, 12L, 13
CVE-2023-20917 A-242605257 [ 2 ]期末高的11, 12, 12L, 13
CVE-2023-20947 A-237405974期末高的12、12L、13
CVE-2023-20963 A-220302519期末高的11, 12, 12L, 13
CVE-2023-20956 A-240140929 ID高的12、12L、13
CVE-2023-20958 A-254803162 ID高的13
CVE-2023-20964 A-238177121 [ 2 ]拒绝服务高的12、12L、13

系统

本节中最严重的漏洞可能导致无需额外执行权限即可远程执行代码。开发不需要用户交互。

CVE参考类型严重程度更新的 AOSP 版本
CVE-2023-20951 A-258652631 RCE批判的11, 12, 12L, 13
CVE-2023-20954 A-261867748 RCE批判的11, 12, 12L, 13
CVE-2023-20926 A-253043058期末高的12、12L、13
CVE-2023-20931 A-242535997期末高的11, 12, 12L, 13
CVE-2023-20936 A-226927612期末高的11, 12, 12L, 13
CVE-2023-20953 A-251778420期末高的13
CVE-2023-20955 A-258653813期末高的11, 12, 12L, 13
CVE-2023-20957 A-258422561期末高的11、12、12L
CVE-2023-20959 A-249057848期末高的13
CVE-2023-20960 A-250589026 [ 2 ] [ 3 ]期末高的12L, 13
CVE-2023-20966 A-242299736期末高的11, 12, 12L, 13
CVE-2022-4452 A-251802307 ID高的13
CVE-2022-20467 A-225880741 ID高的11, 12, 12L, 13
CVE-2023-20929 A-234442700 ID高的13
CVE-2023-20952 A-186803518 ID高的11, 12, 12L, 13
CVE-2023-20962 A-256590210 ID高的13
CVE-2022-20499 A-246539931拒绝服务高的12、12L、13

Google Play 系统更新

Project Mainline 组件中包含以下问题。

子组件CVE
媒体编解码器CVE-2023-20956
权限控制器CVE-2023-20947
网络共享CVE-2023-20929
无线上网CVE-2022-20499

2023-03-05 安全补丁级漏洞详情

在下面的部分中,我们提供了适用于 2023-03-05 补丁级别的每个安全漏洞的详细信息。漏洞被分组在它们影响的组件下。下表描述了问题,包括 CVE ID、相关参考、漏洞类型严重性和更新的 AOSP 版本(如果适用)。如果可用,我们会将解决问题的公共更改链接到错误 ID,例如 AOSP 更改列表。当多个更改与单个错误相关时,其他参考链接到错误 ID 后面的数字。

核心

此部分中的漏洞可能导致本地信息泄露,无需额外的执行权限。开发不需要用户交互。

CVE参考类型严重程度子组件
CVE-2021-33655 A-240019719
上游内核[ 2 ] [ 3 ]
期末高的帧缓冲区

联发科组件

这些漏洞影响 MediaTek 组件,更多详细信息可直接从 MediaTek 获取。这些问题的严重性评估由联发科技直接提供。

CVE参考严重程度子组件
CVE-2023-20620 A-264149248
M-ALPS07554558 *
高的adsp
CVE-2023-20621 A-264208866
M-ALPS07664755 *
高的小系统
CVE-2023-20623 A-264209787
M-ALPS07559778 *
高的离子

紫光元器件

这些漏洞影响 Unisoc 组件,更多详细信息可直接从 Unisoc 获得。这些问题的严重性评估由紫光展锐直接提供。

CVE参考严重性子组件
CVE-2022-47459 A-264598465
U-2032124 *
高的核心
CVE-2022-47461 A-264834026
U-2066617 *
高的系统
CVE-2022-47462 A-264834568
U-2066754 *
高的系统
CVE-2022-47460 A-264831217
U-2044606 *
高的核心

高通组件

这些漏洞会影响 Qualcomm 组件,并在相应的 Qualcomm 安全公告或安全警报中进行了更详细的描述。这些问题的严重性评估由高通直接提供。

CVE参考严重性子组件
CVE-2022-22075 A-193434313
QC-CR#3129138
QC-CR#3112398 [ 2 ] [ 3 ]
高的展示
CVE-2022-40537 A-261468700
QC-CR#3278869 [ 2 ] [ 3 ] [ 4 ]
高的蓝牙
CVE-2022-40540 A-261470730
QC-CR#3280498
高的核心

高通闭源组件

这些漏洞会影响 Qualcomm 闭源组件,并在相应的 Qualcomm 安全公告或安全警报中进行了更详细的描述。这些问题的严重性评估由高通直接提供。

CVE参考严重性子组件
CVE-2022-33213 A-238106224 *批判的闭源组件
CVE-2022-33256 A-245402790 *批判的闭源组件
CVE-2022-25655 A-261469326 *高的闭源组件
CVE-2022-25694 A-235102547 *高的闭源组件
CVE-2022-25705 A-235102507 *高的闭源组件
CVE-2022-25709 A-235102420 *高的闭源组件
CVE-2022-33242 A-245402503 *高的闭源组件
CVE-2022-33244 A-245402728 *高的闭源组件
CVE-2022-33250 A-245403450 *高的闭源组件
CVE-2022-33254 A-245403473 *高的闭源组件
CVE-2022-33272 A-245403311 *高的闭源组件
CVE-2022-33278
A-245402730 *高的闭源组件
CVE-2022-33309 A-261468683 *高的闭源组件
CVE-2022-40515 A-261469638 *高的闭源组件
CVE-2022-40527 A-261470448 *高的闭源组件
CVE-2022-40530 A-261471028 *高的闭源组件
CVE-2022-40531 A-261469091 *高的闭源组件
CVE-2022-40535 A-261470732 *高的闭源组件

常见问题与解答

本节回答阅读本公告后可能出现的常见问题。

1. 如何确定我的设备是否已更新以解决这些问题?

要了解如何检查设备的安全补丁级别,请参阅检查并更新您的 Android 版本

  • 2023-03-01 或更高级别的安全补丁程序解决了与 2023-03-01 安全补丁程序级别相关的所有问题。
  • 2023-03-05 或更高版本的安全补丁程序级别解决了与 2023-03-05 安全补丁程序级别和所有先前补丁程序级别相关的所有问题。

包含这些更新的设备制造商应将补丁字符串级别设置为:

  • [ro.build.version.security_patch]:[2023-03-01]
  • [ro.build.version.security_patch]:[2023-03-05]

对于某些运行 Android 10 或更高版本的设备,Google Play 系统更新将具有与 2023-03-01 安全补丁级别匹配的日期字符串。有关如何安装安全更新的更多详细信息,请参阅本文

2. 为什么本公告有两个安全补丁级别?

此公告有两个安全补丁程序级别,因此 Android 合作伙伴可以灵活地更快地修复所有 Android 设备上相似的部分漏洞。鼓励 Android 合作伙伴解决此公告中的所有问题并使用最新的安全补丁程序级别。

  • 使用 2023-03-01 安全补丁级别的设备必须包含与该安全补丁级别相关​​的所有问题,以及针对之前安全公告中报告的所有问题的修复。
  • 使用 2023-03-05 或更高版本安全补丁程序级别的设备必须包含此(和之前的)安全公告中的所有适用补丁程序。

鼓励合作伙伴将他们正在解决的所有问题的修复捆绑在一个更新中。

3.类型栏中的条目是什么意思?

漏洞详细信息表的类型列中的条目引用安全漏洞的分类。

缩写定义
RCE远程代码执行
期末特权提升
ID信息披露
拒绝服务拒绝服务
不适用分类不可用

4. References栏中的条目是什么意思?

漏洞详细信息表的参考列下的条目可能包含一个前缀,用于标识参考值所属的组织。

字首参考
A-安卓漏洞编号
质检-高通参考编号
M-联发科参考编号
N- NVIDIA 参考编号
B-博通参考编号
U-紫光展锐参考编号

5. References栏中Android bug ID 旁边的* 是什么意思?

未公开发布的问题在相应的参考 ID 旁边有一个 *。该问题的更新通常包含在可从Google Developer 站点获得的 Pixel 设备的最新二进制驱动程序中。

6. 为什么在本公告和设备/合作伙伴安全公告(例如 Pixel 公告)之间划分安全漏洞?

此安全公告中记录的安全漏洞需要在 Android 设备上声明最新的安全补丁程序级别。设备/合作伙伴安全公告中记录的其他安全漏洞不需要声明安全补丁程序级别。 Android 设备和芯片组制造商也可能会发布特定于其产品的安全漏洞详细信息,例如谷歌华为LGE摩托罗拉诺基亚三星

版本

版本日期笔记
1.0 2023 年 3 月 6 日公告发布
1.1 2023 年 3 月 8 日公告已修订以包含 AOSP 链接
2.0 2023 年 5 月 8 日修订后的 CVE 表