Boletim de segurança do Android: outubro de 2023

Publicado em 2 de outubro de 2023 | Atualizado em 26 de julho de 2024

O boletim de segurança do Android contém detalhes de vulnerabilidades de segurança que afetam dispositivos Android. Os níveis de patch de segurança de 2023-10-06 ou posterior resolverá todos esses problemas. Para aprender a verificar o nível do patch de segurança de um dispositivo, consulte Verificar e atualizar a versão do Android.

Os parceiros Android são notificados sobre todos os problemas pelo menos um mês antes publicação. Os patches de código-fonte para esses problemas foram lançados no Android Open Source Project (AOSP) e vinculado a este boletim. Este boletim também inclui links para patches fora do AOSP.

A avaliação de gravidade é baseada no efeito que explorar a vulnerabilidade poderia ter em um dispositivo afetado, supondo que as mitigações de plataforma e serviço estejam desativadas para desenvolvimento ou se forem ignorados.

Consulte a página da API Android e Google Play Protect na seção de mitigações de ameaças para ver detalhes Plataforma de segurança Android de segurança e o Google Play Protect, que aumentam a segurança Plataforma Android.

Serviço do Android e do Google mitigações

Este é um resumo das mitigações oferecidas pelo Plataforma de segurança Android e proteções de serviços, como Google Play Proteger. Esses recursos reduzem a probabilidade de que a segurança mais vulnerabilidades podem ser exploradas com sucesso no Android.

  • A exploração de muitos problemas no Android se torna mais difícil ao melhorias em versões mais recentes da plataforma Android. Incentivamos todos usuários para a versão mais recente do Android sempre que possível.
  • A equipe de segurança do Android monitora ativamente abusos usando Google Play Protect e avisa os usuários sobre Potencialmente Aplicativos nocivos. O Google Play Protect fica ativado por padrão dispositivos com o Google Dispositivo móvel Services e é especialmente importante para usuários que instalam aplicativos de fora do Google Play.
.

01/10/2023 detalhes da vulnerabilidade no nível do patch de segurança

Nas seções abaixo, fornecemos detalhes de cada um dos requisitos vulnerabilidades que se aplicam ao nível de patch de 01/10/2023. As vulnerabilidades são agrupadas de acordo com o componente que afetam. Os problemas são descritos nas tabelas abaixo e incluem o ID do CVE, associado referências, tipo de vulnerabilidade gravidade, e versões atualizadas do AOSP (quando aplicável). Quando disponível, vincularemos a alteração pública que solucionou o problema ao ID do bug, como a lista de mudanças do AOSP. Quando várias alterações estão relacionadas a um único bug, referências adicionais são vinculado a números após o ID do bug. Dispositivos com o Android 10 e versões mais recentes podem receber atualizações de segurança Google Atualizações do sistema do Google Play.

Framework

A vulnerabilidade mais grave nesta seção pode levar a problemas encaminhamento para um supervisor sem precisar de outros privilégios de execução.

CVE Referências Tipo Gravidade Versões atualizadas do AOSP
CVE-2023-40116 A-270368476 (link em inglês) [2] Fim do dia Alta 11, 12 e 12L
CVE-2023-40120 A-274775190 (link em inglês) Fim do dia Alta 11, 12, 12L e 13
CVE-2023-40131 A-282919145 (link em inglês) Fim do dia Alta 12, 12L e 13
CVE-2023-40140 A-274058082 (link em inglês) Fim do dia Alta 11, 12, 12L e 13
CVE-2023-21291 A-277593270 (link em inglês) ID Alta 11, 12, 12L e 13
CVE-2023-40121 A-224771621 (link em inglês) ID Alta 11, 12, 12L e 13
CVE-2023-40134 A-283101289 (link em inglês) ID Alta 12, 12L e 13
CVE-2023-40136 A-281666022 (link em inglês) ID Alta 11, 12, 12L e 13
CVE-2023-40137 A-281665050 (link em inglês) ID Alta 11, 12, 12L e 13
CVE-2023-40138 A-281534749 (link em inglês) ID Alta 11, 12, 12L e 13
CVE-2023-40139 A-281533566 (link em inglês) ID Alta 11, 12, 12L e 13

Sistema

A vulnerabilidade mais grave nesta seção pode levar a problemas Execução de código (proximal/próxima) sem privilégios de execução adicionais necessários.

CVE Referências Tipo Gravidade Versões atualizadas do AOSP
CVE-2023-40129 A-273874525 (link em inglês) RCE Crítico 12, 12L e 13
CVE-2023-21244 A-276729064 (link em inglês) [2] [3] Fim do dia Alta 11, 12, 12L e 13
CVE-2023-40117 A-253043065 (link em inglês) [2] Fim do dia Alta 11, 12, 12L e 13
CVE-2023-40125 A-279902472 (link em inglês) Fim do dia Alta 11, 12, 12L e 13
CVE-2023-40128 A-274231102 (link em inglês) Fim do dia Alta 11, 12, 12L e 13
CVE-2023-40130 A-289809991 (link em inglês) Fim do dia Alta 11, 12, 12L e 13
CVE-2023-40123 A-278246904 (link em inglês) ID Alta 11, 12, 12L e 13
CVE-2023-40127 A-262244882 (link em inglês) ID Alta 11, 12, 12L e 13
CVE-2023-40133 A-283264674 (link em inglês) ID Alta 11, 12, 12L e 13
CVE-2023-40135 A-281848557 (link em inglês) ID Alta 11, 12, 12L e 13
CVE-2023-21252 A-275339978 (link em inglês) [2] DoS (DoS) Alta 11, 12, 12L e 13
CVE-2023-21253 A-266580022 (link em inglês) [2] [3] DoS (DoS) Alta 11, 12, 12L e 13

Atualizações do sistema do Google Play

Os problemas a seguir estão incluídos nos componentes do Projeto Mainline.

Subcomponente CVE
Provedor de mídia CVE-2023-40127
Wi-Fi CVE-2023-21252

05/10/2023 detalhes da vulnerabilidade no nível do patch de segurança

Nas seções abaixo, fornecemos detalhes de cada um dos requisitos vulnerabilidades que se aplicam ao nível de patch 2023-10-05. As vulnerabilidades são agrupadas de acordo com o componente que afetam. Os problemas são descritos nas tabelas abaixo e incluem o ID do CVE, associado referências, tipo de vulnerabilidade gravidade, e versões atualizadas do AOSP (quando aplicável). Quando disponível, vincularemos a alteração pública que solucionou o problema ao ID do bug, como a lista de mudanças do AOSP. Quando várias alterações estão relacionadas a um único bug, referências adicionais são vinculado a números após o ID do bug.

Componentes do grupo

Essas vulnerabilidades afetam os componentes do Arm. Mais detalhes estão disponíveis diretamente do Arm. A avaliação da gravidade desses problemas é fornecida diretamente pelo Arm.

CVE Referências Gravidade Subcomponente
CVE-2021-44828 A-296461583 * Alta Mali
CVE-2022-28348 A-296463357 * Alta Mali
CVE-2023-4211 A-294605494 * Alta Mali
CVE-2023-33200 A-287627703 * Alta Mali
CVE-2023-34970 A-287624919 * Alta Mali

Componentes do MediaTek

Essas vulnerabilidades afetam os componentes da MediaTek. Outros detalhes são disponíveis diretamente da MediaTek. A avaliação da gravidade desses problemas é fornecida diretamente pela MediaTek.

CVE Referências Gravidade Subcomponente
CVE-2023-20819 A-294779648
M-MOLY01068234 *
Alta Protocolo PPP CDMA
CVE-2023-32819 A-294779649
M-ALPS07993705 *
Alta tela
CVE-2023-32820 A-294781433
M-ALPS07932637 *
Alta Firmware do wlan

Componentes Unisoc

Essa vulnerabilidade afeta componentes Unisoc e outros detalhes disponível diretamente do Unisoc. A avaliação de gravidade desse problema é fornecida diretamente pelo Unisoc.

CVE Referências Gravidade Subcomponente
CVE-2023-40638 A-296491611
U-2212107*
Alta Android

Componentes da Qualcomm

Essas vulnerabilidades afetam os componentes da Qualcomm e estão descritas em mais no boletim ou alerta de segurança da Qualcomm. A avaliação da gravidade desses problemas é fornecida diretamente pela Qualcomm.

CVE Referências Gravidade Subcomponente
CVE-2023-33029 A-290061916
QC-CR#3446314
Alta Kernel
CVE-2023-33034 A-290060972
QC-CR#3438425
Alta Áudio
CVE-2023-33035 A-290061247
QC-CR#3438021
Alta Áudio

Componentes de código fechado da Qualcomm

Essas vulnerabilidades afetam componentes de código fechado da Qualcomm e descritos em mais detalhes no boletim de segurança da Qualcomm ou alerta de segurança. A avaliação da gravidade desses problemas é fornecida diretamente pela Qualcomm.

CVE Referências Gravidade Subcomponente
CVE-2023-24855 A-276750662 * Crítico Componente de código fechado
CVE-2023-28540 (em inglês) A-276751073 * Crítico Componente de código fechado
CVE-2023-33028 A-290060590 * Crítico Componente de código fechado
CVE-2023-21673 A-276750698 * Alta Componente de código fechado
CVE-2023-22385 A-276750699 * Alta Componente de código fechado
CVE-2023-24843 A-276750762 * Alta Componente de código fechado
CVE-2023-24844 A-276750872 * Alta Componente de código fechado
CVE-2023-24847 A-276751090 * Alta Componente de código fechado
CVE-2023-24848 A-276750995* Alta Componente de código fechado
CVE-2023-24849 A-276751370* Alta Componente de código fechado
CVE-2023-24850 A-276751108 * Alta Componente de código fechado
CVE-2023-24853 A-276751372 * Alta Componente de código fechado
CVE-2023-33026 A-290061996 * Alta Componente de código fechado
CVE-2023-33027 A-290061249 * Alta Componente de código fechado

06/10/2023 detalhes da vulnerabilidade no nível do patch de segurança

Nas seções abaixo, fornecemos detalhes de cada um dos requisitos vulnerabilidades que se aplicam ao nível de patch 2023-10-06. As vulnerabilidades são agrupadas de acordo com o componente que afetam. Os problemas são descritos nas tabelas abaixo e incluem o ID do CVE, associado referências, tipo de vulnerabilidade gravidade, e versões atualizadas do AOSP (quando aplicável). Quando disponível, vincularemos a alteração pública que solucionou o problema ao ID do bug, como a lista de mudanças do AOSP. Quando várias alterações estão relacionadas a um único bug, referências adicionais são vinculado a números após o ID do bug.

Sistema

A vulnerabilidade nesta seção pode levar à exploração sem interação do usuário.

CVE Referências Tipo Gravidade Versões atualizadas do AOSP
CVE-2023-4863 A-299477569 RCE Crítico 11, 12, 12L e 13

Perguntas e respostas comuns

Esta seção responde a dúvidas comuns que podem surgir boletim informativo.

1. Como determino se meu dispositivo está atualizado para resolver esses problemas problemas?

Para aprender a verificar o nível do patch de segurança de um dispositivo, consulte Verificar e atualizar a versão do Android.

  • Endereço dos níveis de patch de segurança de 01/10/2023 ou mais recente todos os problemas associados ao patch de segurança de 01/10/2023 nível
  • Endereço dos níveis de patch de segurança de 05/10/2023 ou mais recente todos os problemas associados ao patch de segurança de 05/10/2023 e todos os níveis de patch anteriores.
  • Endereço dos níveis de patch de segurança de 06/10/2023 ou mais recente todos os problemas associados ao patch de segurança de 06/10/2023 e todos os níveis de patch anteriores.

Os fabricantes de dispositivos que incluem essas atualizações precisam definir a string de patch nível para:

  • [ro.build.version.security_patch]:[2023-10-01]
  • [ro.build.version.security_patch]:[2023-10-05]
  • [ro.build.version.security_patch]:[2023-10-06]

Em alguns dispositivos com o Android 10 ou versões mais recentes, a atualização do sistema do Google Play terá uma string de data que corresponde ao formato 2023-10-01 nível do patch de segurança. Consulte este artigo para mais detalhes sobre como instalar e atualizações de segurança.

2. Por que este boletim tem três níveis de patch de segurança?

Este boletim tem três níveis de patch de segurança para que os parceiros Android tenham a flexibilidade de corrigir um subconjunto de vulnerabilidades semelhantes Dispositivos Android mais rapidamente. Recomendamos que os parceiros do Android corrijam problemas neste boletim e use o nível mais recente do patch de segurança.

  • Dispositivos que usam o nível do patch de segurança de 01/10/2023 precisa incluir todos os problemas associados ao nível do patch de segurança, além de quando e correções de todos os problemas relatados em boletins de segurança anteriores.
  • Dispositivos que usam o nível do patch de segurança de 05/10/2023 ou mais recentes devem incluir todos os patches aplicáveis nesta segurança (e nas anteriores) boletins informativos.
  • Dispositivos que usam o nível do patch de segurança de 06/10/2023 ou mais recentes devem incluir todos os patches aplicáveis nesta segurança (e nas anteriores) boletins informativos.

Incentivamos os parceiros a agrupar as correções de todos os problemas encontrados. em uma única atualização.

3. O que significam as entradas na coluna Tipo?

Entradas na coluna Tipo da tabela de detalhes da vulnerabilidade consultar a classificação da vulnerabilidade de segurança.

Abreviatura Definição
RCE Execução remota de código
Fim do dia Elevação do privilégio
ID Divulgação de informações
DoS (DoS) Negação de serviço
N/A Classificação indisponível

4. O que significam as entradas na coluna References?

Entradas na coluna Referências dos detalhes da vulnerabilidade pode conter um prefixo que identifica a organização para a qual Referência pertence.

Prefixo Referência
A- ID do bug do Android
Controle de qualidade Número de referência da Qualcomm
M- Número de referência da MediaTek
N Número de referência da NVIDIA
B- Número de referência Broadcom
de Número de referência do UNISOC

5. O que faz um * ao lado do ID do bug do Android nas Referências? média da coluna?

Os problemas que não estiverem disponíveis publicamente terão um * ao lado do nome da ID de referência. A atualização desse problema geralmente está contida na versão drivers binários para dispositivos Pixel disponíveis no Google Site para desenvolvedores.

6. Por que as vulnerabilidades de segurança estão divididas entre este boletim e de parceiros / dispositivos móveis, como Boletim do Pixel?

As vulnerabilidades de segurança documentadas neste boletim de segurança são obrigatório declarar o nível mais recente do patch de segurança no Android dispositivos. Vulnerabilidades de segurança adicionais que são documentadas na os boletins de segurança de parceiros / dispositivos declarar um nível de patch de segurança. Fabricantes de dispositivos Android e chipsset publicar detalhes de vulnerabilidade de segurança específicos dos produtos, como Google, Huawei, LGE, Motorola, Nokia, ou Samsung.

Versões

Versão Data Observações
1.0 2 de outubro de 2023 Boletim publicado