В этом бюллетене по безопасности содержится информация об уязвимостях в защите устройств Android. Все проблемы, перечисленные здесь, устранены в исправлении 2023-04-05 или более новом. Сведения о том, как проверить уровень исправления системы безопасности на устройстве, можно найти в статье об обновлении версии Android.
Мы сообщаем партнерам обо всех проблемах не менее чем за месяц до выхода бюллетеня. Исправления уязвимостей доступны в хранилище Android Open Source Project (AOSP). Ссылки на них и на исправления вне AOSP есть в этом бюллетене.
Самая серьезная из проблем – критическая уязвимость в компоненте "Система", которая позволяет злоумышленнику поблизости, не обладающему дополнительными правами, удаленно выполнять код. Для этого не требуется взаимодействие с пользователем. Уровень серьезности зависит от того, какой ущерб потенциально может быть нанесен устройству, если средства защиты будут отключены в целях разработки или злоумышленнику удастся их обойти.
Сведения о том, как платформа безопасности Android и Google Play Защита помогают снизить вероятность успешного использования уязвимостей Android, можно найти в разделе Предотвращение атак.
Предотвращение атак
Ниже рассказывается, как платформа безопасности и средства защиты сервисов, например Google Play Защита, позволяют снизить вероятность успешного использования уязвимостей Android.
- В новых версиях Android сложнее использовать многие уязвимости, поэтому мы рекомендуем всем пользователям своевременно обновлять систему.
- Команда, отвечающая за безопасность Android, активно отслеживает случаи злоупотребления с помощью Google Play Защиты и предупреждает пользователей об установке потенциально опасных приложений. Google Play Защита по умолчанию включена на телефонах и планшетах, использующих сервисы Google для мобильных устройств. Она особенно важна для тех, кто устанавливает приложения не из Google Play.
Описание уязвимостей (исправление системы безопасности 2023-04-01)
В этом разделе вы найдете подробную информацию обо всех уязвимостях, устраненных в исправлении системы безопасности 2023-04-01. Проблемы сгруппированы по компонентам, которые они затрагивают. Для каждого случая приведена таблица, где указаны идентификаторы CVE, ссылки, тип уязвимости, уровень серьезности и, если применимо, версии AOSP. Где возможно, мы добавляем к идентификатору ошибки ссылку на опубликованное изменение (например, список AOSP). Когда к одной ошибке относится несколько изменений, дополнительные ссылки приводятся в квадратных скобках. Устройства с Android 10 или более новой версией ОС могут получать обновления системы безопасности, а также обновления системы через Google Play.
Framework
Самая серьезная уязвимость позволяет злоумышленнику, не обладающему дополнительными правами на выполнение кода, локально повышать привилегии. Для этого не требуется взаимодействие с пользователем.
| CVE | Ссылки | Тип | Уровень серьезности | Обновленные версии AOSP |
|---|---|---|---|---|
| CVE-2023-21081 | A-230492955 | ПП | Высокий | 11, 12, 12L, 13 |
| CVE-2023-21088 | A-235823542 | ПП | Высокий | 12, 12L, 13 |
| CVE-2023-21089 | A-237766679 | ПП | Высокий | 11, 12, 12L, 13 |
| CVE-2023-21092 | A-242040055 | ПП | Высокий | 11, 12, 12L, 13 |
| CVE-2023-21094 | A-248031255 | ПП | Высокий | 11, 12, 12L, 13 |
| CVE-2023-21097 | A-261858325 | ПП | Высокий | 11, 12, 12L, 13 |
| CVE-2023-21098 | A-260567867 | ПП | Высокий | 11, 12, 12L, 13 |
| CVE-2023-21090 | A-259942609 | DoS | Высокий | 13 |
| CVE-2023-20950 | A-195756028 | ПП | Средний | 11, 12, 12L |
Система
Самая серьезная уязвимость позволяет злоумышленнику поблизости, не обладающему дополнительными правами, удаленно выполнять код. Для этого не требуется взаимодействие с пользователем.
| CVE | Ссылки | Тип | Уровень серьезности | Обновленные версии AOSP |
|---|---|---|---|---|
| CVE-2023-21085 | A-264879662 | УВК | Критический | 11, 12, 12L, 13 |
| CVE-2023-21096 | A-254774758 [2] [3] | УВК | Критический | 12, 12L, 13 |
| CVE-2022-20463 | A-231985227 | ПП | Высокий | 11, 12, 12L, 13 |
| CVE-2023-20967 | A-225879503 | ПП | Высокий | 11, 12, 12L, 13 |
| CVE-2023-21084 | A-262892300 [2] | ПП | Высокий | 13 |
| CVE-2023-21086 | A-238298970 | ПП | Высокий | 11, 12, 12L, 13 |
| CVE-2023-21093 | A-228450832 | ПП | Высокий | 11, 12, 12L, 13 |
| CVE-2023-21099 | A-243377226 | ПП | Высокий | 11, 12, 12L, 13 |
| CVE-2023-21100 | A-242544249 | ПП | Высокий | 12, 12L, 13 |
| CVE-2022-20471 | A-238177877 [2] [3] | РИ | Высокий | 11, 12, 12L, 13 |
| CVE-2023-20909 | A-243130512 [2] [3] | РИ | Высокий | 11, 12, 12L, 13 |
| CVE-2023-20935 | A-256589724 [2] | РИ | Высокий | 11, 12, 12L, 13 |
| CVE-2023-21080 | A-245916076 | РИ | Высокий | 11, 12, 12L, 13 |
| CVE-2023-21082 | A-257030107 | РИ | Высокий | 11, 12, 12L, 13 |
| CVE-2023-21083 | A-252762941 | РИ | Высокий | 11, 12, 12L, 13 |
| CVE-2023-21091 | A-257954050 | DoS | Высокий | 13 |
Обновления системы через Google Play
Исправления указанных ниже уязвимостей включены в компоненты проекта Mainline.
| Подкомпонент | CVE |
|---|---|
| MediaProvider | CVE-2023-21093 |
| Wi-Fi | CVE-2022-20463 |
Описание уязвимостей (исправление системы безопасности 2023-04-05)
В этом разделе вы найдете подробную информацию обо всех уязвимостях, устраненных в исправлении системы безопасности 2023-04-05. Проблемы сгруппированы по компонентам, которые они затрагивают. Для каждого случая приведена таблица, где указаны идентификаторы CVE, ссылки, тип уязвимости, уровень серьезности и, если применимо, версии AOSP. Где возможно, мы добавляем к идентификатору ошибки ссылку на опубликованное изменение (например, список AOSP). Если таких изменений несколько, дополнительные ссылки указываются в квадратных скобках.
Ядро
Самая серьезная уязвимость позволяет злоумышленнику, не обладающему дополнительными правами на выполнение кода, локально повышать привилегии в ядре. Для использования уязвимости не требуется взаимодействие с пользователем.
| CVE | Ссылки | Тип | Уровень серьезности | Подкомпонент |
|---|---|---|---|---|
| CVE-2022-4696 | A-264692298
Upstream kernel [2] |
ПП | Высокий | io_uring |
| CVE-2023-20941 | A-264029575
Upstream kernel |
ПП | Высокий | USB |
Компоненты ARM
Эти уязвимости затрагивают компоненты ARM. Подробную информацию можно получить от компании ARM. Уровень серьезности этих проблем определяется непосредственно компанией ARM.
| CVE | Ссылки | Уровень серьезности | Подкомпонент |
|---|---|---|---|
| CVE-2022-33917 | A-259984559* | Высокий | Mali |
| CVE-2022-36449 | A-259983537* | Высокий | Mali |
| CVE-2022-38181 | A-259695958* | Высокий | Mali |
| CVE-2022-41757 | A-254445909* | Высокий | Mali |
| CVE-2022-42716 | A-260148146* | Высокий | Mali |
Компоненты Imagination Technologies
Указанные ниже уязвимости затрагивают компоненты Imagination Technologies. Подробную информацию можно получить от компании Imagination Technologies. Уровень серьезности этих проблем определяется непосредственно компанией Imagination Technologies.
| CVE | Ссылки | Уровень серьезности | Подкомпонент |
|---|---|---|---|
| CVE-2021-0872 | A-270401229* | Высокий | Графический процессор PowerVR |
| CVE-2021-0873 | A-270392711* | Высокий | Графический процессор PowerVR |
| CVE-2021-0874 | A-270399633* | Высокий | Графический процессор PowerVR |
| CVE-2021-0875 | A-270400061* | Высокий | Графический процессор PowerVR |
| CVE-2021-0876 | A-270400229* | Высокий | Графический процессор PowerVR |
| CVE-2021-0878 | A-270399153* | Высокий | Графический процессор PowerVR |
| CVE-2021-0879 | A-270397970* | Высокий | Графический процессор PowerVR |
| CVE-2021-0880 | A-270396792* | Высокий | Графический процессор PowerVR |
| CVE-2021-0881 | A-270396350* | Высокий | Графический процессор PowerVR |
| CVE-2021-0882 | A-270395803* | Высокий | Графический процессор PowerVR |
| CVE-2021-0883 | A-270395013* | Высокий | Графический процессор PowerVR |
| CVE-2021-0884 | A-270393454* | Высокий | Графический процессор PowerVR |
| CVE-2021-0885 | A-270401914* | Высокий | Графический процессор PowerVR |
Компоненты MediaTek
Указанные ниже уязвимости затрагивают компоненты MediaTek. Подробную информацию об этих проблемах можно получить от компании MediaTek. Уровень серьезности перечисленных уязвимостей определяется непосредственно компанией MediaTek.
| CVE | Ссылки | Уровень серьезности | Подкомпонент |
|---|---|---|---|
| CVE-2022-32599 | A-267957662
M-ALPS07460390* |
Высокий | RPMB |
| CVE-2023-20652 | A-267959360
M-ALPS07628168 * |
Высокий | keyinstall |
| CVE-2023-20653 | A-267959361
M-ALPS07628168* |
Высокий | keyinstall |
| CVE-2023-20654 | A-267955234
M-ALPS07628168* |
Высокий | keyinstall |
| CVE-2023-20655 | A-267959364
M-ALPS07203022* |
Высокий | mmsdk |
| CVE-2023-20656 | A-267957665
M-ALPS07571494* |
Высокий | GenieZone |
| CVE-2023-20657 | A-267955236
M-ALPS07571485 * |
Высокий | Mtee |
Компоненты Unisoc
Указанные ниже уязвимости затрагивают компоненты Unisoc. Подробную информацию можно получить от компании Unisoc. Уровень серьезности этих проблем определяется непосредственно компанией Unisoc.
| CVE | Ссылки | Уровень серьезности | Подкомпонент |
|---|---|---|---|
| CVE-2022-47335 | A-268377608
U-2073898 * |
Высокий | Android |
| CVE-2022-47338 | A-268412170
U-2066670* |
Высокий | Android |
| CVE-2022-47336 | A-268377609
U-2073898* |
Высокий | Android |
| CVE-2022-47337 | A-268410193
U-2100732* |
Высокий | Встроенное ПО |
Компоненты Qualcomm
Указанная ниже уязвимость затрагивает компоненты Qualcomm и подробно описана в соответствующем бюллетене по безопасности или оповещении системы безопасности Qualcomm. Уровень серьезности этой проблемы определяется непосредственно компанией Qualcomm.
| CVE | Ссылки | Уровень серьезности | Подкомпонент |
|---|---|---|---|
| CVE-2022-40503 | A-258057241 QC-CR#3237187 [2] |
Высокий | Bluetooth |
Компоненты Qualcomm с закрытым исходным кодом
Указанные ниже уязвимости затрагивают компоненты Qualcomm с закрытым исходным кодом и подробно описаны в бюллетенях по безопасности или в оповещениях системы безопасности Qualcomm. Уровень серьезности этих проблем определяется непосредственно компанией Qualcomm.
| CVE | Ссылки | Уровень серьезности | Подкомпонент |
|---|---|---|---|
| CVE-2022-33231 | A-250627388* | Критический | Компонент с закрытым исходным кодом |
| CVE-2022-33288 | A-250627565* | Критический | Компонент с закрытым исходным кодом |
| CVE-2022-33289 | A-250627430* | Критический | Компонент с закрытым исходным кодом |
| CVE-2022-33302 | A-250627485* | Критический | Компонент с закрытым исходным кодом |
| CVE-2022-33269 | A-250627391* | Высокий | Компонент с закрытым исходным кодом |
| CVE-2022-33270 | A-250627431* | Высокий | Компонент с закрытым исходным кодом |
| CVE-2022-40532 | A-264417883* | Высокий | Компонент с закрытым исходным кодом |
| CVE-2023-21630 | A-264417203* | Высокий | Компонент с закрытым исходным кодом |
Часто задаваемые вопросы
В этом разделе мы отвечаем на вопросы, которые могут возникнуть после прочтения бюллетеня.
1. Как определить, установлено ли на устройстве обновление, в котором устранены перечисленные проблемы?
Информацию о том, как проверить уровень исправления системы безопасности на устройстве, можно найти в статье об обновлении версии Android.
- В исправлении 2023-04-01 и более новых устранены все проблемы, соответствующие исправлению системы безопасности 2023-04-01.
- В исправлении 2023-04-05 и более новых устранены все проблемы, соответствующие исправлению системы безопасности 2023-04-05 и всем предыдущим исправлениям.
Производители устройств, распространяющие эти обновления, должны установить следующие уровни:
- [ro.build.version.security_patch]:[2023-04-01]
- [ro.build.version.security_patch]:[2023-04-05]
В обновлении системы через Google Play для некоторых устройств с Android 10 или более поздней версией ОС будет указана дата, совпадающая с датой исправления 2023-04-01. Подробнее о том, как установить обновления системы безопасности…
2. Почему в этом бюллетене говорится о двух исправлениях системы безопасности?
Мы включили в этот бюллетень сведения о двух обновлениях, чтобы помочь нашим партнерам как можно скорее устранить уязвимости, затрагивающие все устройства Android. Рекомендуем партнерам Android решить все перечисленные выше проблемы и установить последнее исправление системы безопасности.
- На устройствах с исправлением 2023-04-01 должны быть устранены все охваченные им проблемы, а также уязвимости, упомянутые в предыдущих выпусках бюллетеня.
- На устройствах с исправлением 2023-04-05 или более новым должны быть решены все проблемы, описанные в этом бюллетене и предыдущих выпусках.
Рекомендуем партнерам собрать все исправления проблем в одно обновление.
3. Что означают сокращения в столбце Тип?
В этом столбце указан тип уязвимости по следующей классификации:
| Сокращение | Описание |
|---|---|
| RCE | Удаленное выполнение кода |
| EoP | Повышение уровня привилегий |
| ID | Раскрытие информации |
| DoS | Отказ в обслуживании |
| Н/Д | Классификация недоступна |
4. Что означает информация в столбце Ссылки?
В таблицах с описанием уязвимостей есть столбец Ссылки. Каждая запись в нем может содержать префикс, указывающий на источник ссылки, а именно:
| Префикс | Значение |
|---|---|
| A- | Идентификатор ошибки Android |
| QC- | Ссылочный номер Qualcomm |
| M- | Ссылочный номер MediaTek |
| N- | Ссылочный номер NVIDIA |
| B- | Ссылочный номер Broadcom |
| U- | Ссылочный номер UNISOC |
5. Что означает символ * рядом с идентификатором ошибки Android в столбце Ссылки?
Символ * означает, что исправление для уязвимости не опубликовано. Необходимое обновление обычно содержится в последних исполняемых файлах драйверов для устройств Pixel, которые можно скачать с сайта Google Developers.
6. Почему теперь одни уязвимости описываются в этих бюллетенях, а другие – в бюллетенях по обновлениям Pixel, а также в остальных бюллетенях партнеров?
Здесь описаны уязвимости, которые необходимо устранить для соответствия последнему уровню исправления системы безопасности Android. Решать для этого проблемы, перечисленные в бюллетенях по безопасности партнеров, необязательно. Некоторые производители, например Google, Huawei, LG, Motorola, Nokia и Samsung, также публикуют информацию о проблемах, связанных с безопасностью выпускаемых ими устройств Android и чипсетов.
Версии
| Версия | Дата | Примечания |
|---|---|---|
| 1.0 | 3 апреля 2023 г. | Бюллетень опубликован. |
| 1.1 | 11 апреля 2023 г. | Добавлены ссылки на AOSP. |
| 2.0 | 1 мая 2023 г. | Изменена таблица с идентификаторами CVE. |