本頁面由 Cloud Translation API 翻譯而成。

Switch to English

Android 安全公告 - 2023 年 3 月

發表於 2023 年 3 月 6 日 | 2023 年 5 月 8 日更新

Android 安全公告包含影響 Android 設備的安全漏洞的詳細信息。 2023-03-05 或更高級別的安全補丁程序解決了所有這些問題。要了解如何檢查設備的安全補丁級別，請參閱檢查並更新您的 Android 版本。

Android 合作夥伴會在發布前至少一個月收到所有問題的通知。針對這些問題的源代碼補丁已發佈到 Android 開源項目 (AOSP) 存儲庫並從此公告鏈接。此公告還包括指向 AOSP 之外的補丁程序的鏈接。

這些問題中最嚴重的是系統組件中的一個嚴重安全漏洞，可能導致遠程代碼執行而無需額外的執行權限。開發不需要用戶交互。嚴重性評估基於利用漏洞可能對受影響設備產生的影響，假設平台和服務緩解措施已關閉以用於開發目的或成功繞過。

有關提高Android平台安全性的 Android 安全平台保護和 Google Play Protect 的詳細信息，請參閱 Android 和 Google Play Protect 緩解措施部分。

Android 和 Google 服務緩解措施

這是Android 安全平台和服務保護（例如Google Play Protect）提供的緩解措施的摘要。這些功能降低了在 Android 上成功利用安全漏洞的可能性。

Android 平台較新版本的增強功能使得利用 Android 上的許多問題變得更加困難。我們鼓勵所有用戶盡可能更新到最新版本的 Android。
Android 安全團隊通過Google Play Protect積極監控濫用情況，並就潛在有害應用程序向用戶發出警告。默認情況下，Google Play Protect 在具有Google Mobile Services 的設備上啟用，對於從 Google Play 外部安裝應用程序的用戶來說尤為重要。

2023-03-01 安全補丁級漏洞詳情

在下面的部分中，我們提供了適用於 2023-03-01 補丁級別的每個安全漏洞的詳細信息。漏洞被分組在它們影響的組件下。下表描述了問題，包括 CVE ID、相關參考、漏洞類型、嚴重性和更新的 AOSP 版本（如果適用）。如果可用，我們會將解決問題的公共更改鏈接到錯誤 ID，例如 AOSP 更改列表。當多個更改與單個錯誤相關時，其他參考鏈接到錯誤 ID 後面的數字。搭載 Android 10 及更高版本的設備可能會收到安全更新以及Google Play 系統更新。

框架

這部分中最嚴重的漏洞可能會導致在將應用更新到更高版本的 Target SDK 後本地提權，而無需額外的執行權限。開發不需要用戶交互。

CVE	參考	類型	嚴重性	更新的 AOSP 版本
CVE-2023-20906	A-221040577	期末	高的	11, 12, 12L, 13
CVE-2023-20911	A-242537498	期末	高的	11, 12, 12L, 13
CVE-2023-20917	A-242605257 [ 2 ]	期末	高的	11, 12, 12L, 13
CVE-2023-20947	A-237405974	期末	高的	12、12L、13
CVE-2023-20963	A-220302519	期末	高的	11, 12, 12L, 13
CVE-2023-20956	A-240140929	ID	高的	12、12L、13
CVE-2023-20958	A-254803162	ID	高的	13
CVE-2023-20964	A-238177121 [ 2 ]	拒絕服務	高的	12、12L、13

系統

本節中最嚴重的漏洞可能導致無需額外執行權限即可遠程執行代碼。開發不需要用戶交互。

CVE	參考	類型	嚴重程度	更新的 AOSP 版本
CVE-2023-20951	A-258652631	RCE	批判的	11, 12, 12L, 13
CVE-2023-20954	A-261867748	RCE	批判的	11, 12, 12L, 13
CVE-2023-20926	A-253043058	期末	高的	12、12L、13
CVE-2023-20931	A-242535997	期末	高的	11, 12, 12L, 13
CVE-2023-20936	A-226927612	期末	高的	11, 12, 12L, 13
CVE-2023-20953	A-251778420	期末	高的	13
CVE-2023-20955	A-258653813	期末	高的	11, 12, 12L, 13
CVE-2023-20957	A-258422561	期末	高的	11、12、12L
CVE-2023-20959	A-249057848	期末	高的	13
CVE-2023-20960	A-250589026 [ 2 ] [ 3 ]	期末	高的	12L, 13
CVE-2023-20966	A-242299736	期末	高的	11, 12, 12L, 13
CVE-2022-4452	A-251802307	ID	高的	13
CVE-2022-20467	A-225880741	ID	高的	11, 12, 12L, 13
CVE-2023-20929	A-234442700	ID	高的	13
CVE-2023-20952	A-186803518	ID	高的	11, 12, 12L, 13
CVE-2023-20962	A-256590210	ID	高的	13
CVE-2022-20499	A-246539931	拒絕服務	高的	12、12L、13

Google Play 系統更新

Project Mainline 組件中包含以下問題。

子組件	CVE
媒體編解碼器	CVE-2023-20956
權限控制器	CVE-2023-20947
網絡共享	CVE-2023-20929
無線上網	CVE-2022-20499

2023-03-05 安全補丁級漏洞詳情

在下面的部分中，我們提供了適用於 2023-03-05 補丁級別的每個安全漏洞的詳細信息。漏洞被分組在它們影響的組件下。下表描述了問題，包括 CVE ID、相關參考、漏洞類型、嚴重性和更新的 AOSP 版本（如果適用）。如果可用，我們會將解決問題的公共更改鏈接到錯誤 ID，例如 AOSP 更改列表。當多個更改與單個錯誤相關時，其他參考鏈接到錯誤 ID 後面的數字。

核心

此部分中的漏洞可能導致本地信息洩露，無需額外的執行權限。開發不需要用戶交互。

CVE	參考	類型	嚴重性	子組件
CVE-2021-33655	A-240019719 上游內核[ 2 ] [ 3 ]	期末	高的	幀緩衝區

聯發科組件

這些漏洞影響 MediaTek 組件，更多詳細信息可直接從 MediaTek 獲取。這些問題的嚴重性評估由聯發科技直接提供。

CVE	參考	嚴重程度	子組件
CVE-2023-20620	A-264149248 M-ALPS07554558 *	高的	adsp
CVE-2023-20621	A-264208866 M-ALPS07664755 *	高的	小系統
CVE-2023-20623	A-264209787 M-ALPS07559778 *	高的	離子

紫光元器件

這些漏洞影響 Unisoc 組件，更多詳細信息可直接從 Unisoc 獲得。這些問題的嚴重性評估由紫光展銳直接提供。

CVE	參考	嚴重性	子組件
CVE-2022-47459	A-264598465 U-2032124 *	高的	核心
CVE-2022-47461	A-264834026 U-2066617 *	高的	系統
CVE-2022-47462	A-264834568 U-2066754 *	高的	系統
CVE-2022-47460	A-264831217 U-2044606 *	高的	核心

高通組件

這些漏洞會影響 Qualcomm 組件，並在相應的 Qualcomm 安全公告或安全警報中進行了更詳細的描述。這些問題的嚴重性評估由高通直接提供。

CVE	參考	嚴重程度	子組件
CVE-2022-22075	A-193434313 QC-CR#3129138 QC-CR#3112398 [ 2 ] [ 3 ]	高的	展示
CVE-2022-40537	A-261468700 QC-CR#3278869 [ 2 ] [ 3 ] [ 4 ]	高的	藍牙
CVE-2022-40540	A-261470730 QC-CR#3280498	高的	核心

高通閉源組件

這些漏洞會影響 Qualcomm 閉源組件，並在相應的 Qualcomm 安全公告或安全警報中進行了更詳細的描述。這些問題的嚴重性評估由高通直接提供。

CVE	參考	嚴重性	子組件
CVE-2022-33213	A-238106224 *	批判的	閉源組件
CVE-2022-33256	A-245402790 *	批判的	閉源組件
CVE-2022-25655	A-261469326 *	高的	閉源組件
CVE-2022-25694	A-235102547 *	高的	閉源組件
CVE-2022-25705	A-235102507 *	高的	閉源組件
CVE-2022-25709	A-235102420 *	高的	閉源組件
CVE-2022-33242	A-245402503 *	高的	閉源組件
CVE-2022-33244	A-245402728 *	高的	閉源組件
CVE-2022-33250	A-245403450 *	高的	閉源組件
CVE-2022-33254	A-245403473 *	高的	閉源組件
CVE-2022-33272	A-245403311 *	高的	閉源組件
CVE-2022-33278	A-245402730 *	高的	閉源組件
CVE-2022-33309	A-261468683 *	高的	閉源組件
CVE-2022-40515	A-261469638 *	高的	閉源組件
CVE-2022-40527	A-261470448 *	高的	閉源組件
CVE-2022-40530	A-261471028 *	高的	閉源組件
CVE-2022-40531	A-261469091 *	高的	閉源組件
CVE-2022-40535	A-261470732 *	高的	閉源組件

常見問題與解答

本節回答閱讀本公告後可能出現的常見問題。

1. 如何確定我的設備是否已更新以解決這些問題？

要了解如何檢查設備的安全補丁級別，請參閱檢查並更新您的 Android 版本。

2023-03-01 或更高級別的安全補丁程序解決了與 2023-03-01 安全補丁程序級別相關的所有問題。
2023-03-05 或更高版本的安全補丁程序級別解決了與 2023-03-05 安全補丁程序級別和所有先前補丁程序級別相關的所有問題。

包含這些更新的設備製造商應將補丁字符串級別設置為：

[ro.build.version.security_patch]:[2023-03-01]
[ro.build.version.security_patch]:[2023-03-05]

對於某些運行 Android 10 或更高版本的設備，Google Play 系統更新將具有與 2023-03-01 安全補丁級別匹配的日期字符串。有關如何安裝安全更新的更多詳細信息，請參閱本文。

2. 為什麼本公告有兩個安全補丁級別？

此公告有兩個安全補丁程序級別，因此 Android 合作夥伴可以靈活地更快地修復所有 Android 設備上相似的部分漏洞。鼓勵 Android 合作夥伴解決此公告中的所有問題並使用最新的安全補丁程序級別。

使用 2023-03-01 安全補丁級別的設備必須包含與該安全補丁級別相關的所有問題，以及針對之前安全公告中報告的所有問題的修復。
使用 2023-03-05 或更高版本安全補丁程序級別的設備必須包含此（和之前的）安全公告中的所有適用補丁程序。

鼓勵合作夥伴將他們正在解決的所有問題的修復捆綁在一個更新中。

3.類型欄中的條目是什麼意思？

漏洞詳細信息表的類型列中的條目引用安全漏洞的分類。

縮寫	定義
RCE	遠程代碼執行
期末	特權提升
ID	信息披露
拒絕服務	拒絕服務
不適用	分類不可用

4. References欄中的條目是什麼意思？

漏洞詳細信息表的參考列下的條目可能包含一個前綴，用於標識參考值所屬的組織。

字首	參考
A-	安卓漏洞編號
質檢-	高通參考編號
M-	聯發科參考編號
N-	NVIDIA 參考編號
B-	博通參考編號
U-	紫光展銳參考編號

5. References欄中Android bug ID 旁邊的* 是什麼意思？

未公開發布的問題在相應的參考 ID 旁邊有一個 *。該問題的更新通常包含在可從Google Developer 站點獲得的 Pixel 設備的最新二進制驅動程序中。

6. 為什麼將安全漏洞分為本公告和設備/合作夥伴安全公告，例如 Pixel 公告？

此安全公告中記錄的安全漏洞需要在 Android 設備上聲明最新的安全補丁程序級別。設備/合作夥伴安全公告中記錄的其他安全漏洞不需要聲明安全補丁程序級別。 Android 設備和芯片組製造商也可能會發布特定於其產品的安全漏洞詳細信息，例如穀歌、華為、 LGE 、摩托羅拉、諾基亞或三星。

版本

版本	日期	筆記
1.0	2023 年 3 月 6 日	公告發布
1.1	2023 年 3 月 8 日	公告已修訂以包含 AOSP 鏈接
2.0	2023 年 5 月 8 日	修訂後的 CVE 表