ב-Android Security Bulletin מפורטות פרצות אבטחה שמשפיעות על מכשירי Android. רמות תיקון האבטחה מ-2023-10-06 ואילך פותרות את כל הבעיות האלה. כדי לדעת איך בודקים את רמת תיקון האבטחה של מכשיר, אפשר לעיין במאמר בנושא בדיקה ועדכון של גרסת Android.
שותפי Android מקבלים הודעה על כל הבעיות לפחות חודש לפני הפרסום. תיקונים של קוד המקור לבעיות האלה פורסמו במאגר של פרויקט הקוד הפתוח של Android (AOSP) ומקושרים לפרסום הזה. העדכון הזה כולל גם קישורים לתיקונים מחוץ ל-AOSP.
הערכת חומרת הפגיעות מבוססת על ההשפעה האפשרית של ניצול הפגיעות על מכשיר מושפע, בהנחה שאמצעי ההגנה של הפלטפורמה והשירות מושבתים למטרות פיתוח או אם נעקפו בהצלחה.
בקטע אמצעי ההגנה של Android ו-Google Play Protect מפורטים אמצעי ההגנה של פלטפורמת האבטחה של Android ו-Google Play Protect, שמשפרים את האבטחה של פלטפורמת Android.
אמצעי הגנה בשירותי Google וב-Android
זהו סיכום של אמצעי ההגנה שמוצעים על ידי פלטפורמת האבטחה של Android והגנות השירותים, כמו Google Play Protect. היכולות האלה מצמצמות את הסיכוי שנקודות חולשה באבטחה ינוצלו לרעה ב-Android.
- השיפורים בגרסאות חדשות יותר של פלטפורמת Android מקשים על ניצול של הרבה בעיות ב-Android. מומלץ לכל המשתמשים לעדכן לגרסה האחרונה של Android, אם אפשר.
- צוות האבטחה של Android עוקב באופן פעיל אחרי התנהלות פוגעת באמצעות Google Play Protect ומזהיר משתמשים מפני אפליקציות שעלולות להזיק. Google Play Protect מופעל כברירת מחדל במכשירים עם שירותי Google לנייד, והוא חשוב במיוחד למשתמשים שמתקינים אפליקציות ממקורות אחרים ולא מחנות Google Play.
2023-10-01 פרטים על פגיעות ברמת תיקון האבטחה
בקטעים הבאים מפורטות כל נקודות החולשה באבטחה שרלוונטיות לרמת התיקון 2023-10-01. נקודות החולשה מקובצות לפי הרכיב שהן משפיעות עליו. בטבלאות הבאות מתוארות הבעיות, כולל מזהה CVE, הפניות משויכות, סוג נקודת החולשה, חומרת הבעיה וגרסאות AOSP מעודכנות (אם רלוונטי). אם יש שינוי ציבורי שפותר את הבעיה, אנחנו מקשרים אותו למזהה הבאג, כמו רשימת השינויים של AOSP. אם כמה שינויים קשורים לאותו באג, הפניות הנוספות מקושרות למספרים שאחרי מזהה הבאג. יכול להיות שמכשירים עם Android 10 ואילך יקבלו עדכוני אבטחה וגם עדכוני מערכת של Google Play.
Framework
נקודת החולשה החמורה ביותר בקטע הזה עלולה להוביל להסלמת הרשאות מקומית ללא צורך בהרשאות ביצוע נוספות.
| CVE | קובצי עזר | סוג | מידת החומרה | גרסאות AOSP מעודכנות |
|---|---|---|---|---|
| CVE-2023-40116 | A-270368476 [2] | EoP | רחב | 11, 12, 12L |
| CVE-2023-40120 | A-274775190 | EoP | רחב | 11, 12, 12L, 13 |
| CVE-2023-40131 | A-282919145 | EoP | רחב | 12, 12L, 13 |
| CVE-2023-40140 | A-274058082 | EoP | רחב | 11, 12, 12L, 13 |
| CVE-2023-21291 | A-277593270 | מזהה | רחב | 11, 12, 12L, 13 |
| CVE-2023-40121 | A-224771621 | מזהה | רחב | 11, 12, 12L, 13 |
מערכת
נקודת החולשה החמורה ביותר בקטע הזה עלולה להוביל להרצת קוד מרחוק (קרוב/סמוך) ללא צורך בהרשאות הרצה נוספות.
| CVE | קובצי עזר | סוג | מידת החומרה | גרסאות AOSP מעודכנות |
|---|---|---|---|---|
| CVE-2023-40129 | A-273874525 | RCE | קריטית | 12, 12L, 13 |
| CVE-2023-21244 | A-276729064 [2] [3] | EoP | רחב | 11, 12, 12L, 13 |
| CVE-2023-40117 | A-253043065 [2] | EoP | רחב | 11, 12, 12L, 13 |
| CVE-2023-40125 | A-279902472 | EoP | רחב | 11, 12, 12L, 13 |
| CVE-2023-40128 | A-274231102 | EoP | רחב | 11, 12, 12L, 13 |
| CVE-2023-40123 | A-278246904 | מזהה | רחב | 11, 12, 12L, 13 |
| CVE-2023-40127 | A-262244882 | מזהה | רחב | 11, 12, 12L, 13 |
| CVE-2023-21252 | A-275339978 [2] | DoS | רחב | 11, 12, 12L, 13 |
| CVE-2023-21253 | A-266580022 [2] [3] | DoS | רחב | 11, 12, 12L, 13 |
עדכוני מערכת של Google Play
הבעיות הבאות כלולות ברכיבי Project Mainline.
| רכיב משנה | CVE |
|---|---|
| MediaProvider | CVE-2023-40127 |
| Wi-Fi | CVE-2023-21252 |
2023-10-05 פרטים על פגיעות ברמת תיקון האבטחה
בקטעים הבאים מפורטות כל נקודות החולשה באבטחה שרלוונטיות לרמת התיקון 2023-10-05. נקודות החולשה מקובצות לפי הרכיב שהן משפיעות עליו. בטבלאות הבאות מתוארות הבעיות, כולל מזהה CVE, הפניות משויכות, סוג נקודת החולשה, חומרת הבעיה וגרסאות AOSP מעודכנות (אם רלוונטי). אם יש שינוי ציבורי שפותר את הבעיה, אנחנו מקשרים אותו למזהה הבאג, כמו רשימת השינויים של AOSP. אם כמה שינויים קשורים לאותו באג, הפניות הנוספות מקושרות למספרים שאחרי מזהה הבאג.
רכיבים של זרוע תותבת
נקודות החולשה האלה משפיעות על רכיבי Arm, ופרטים נוספים זמינים ישירות מ-Arm. הערכת חומרת הבעיות האלה מסופקת ישירות על ידי Arm.
| CVE | קובצי עזר | מידת החומרה | רכיב משנה |
|---|---|---|---|
| CVE-2021-44828 | A-296461583 * | רחב | מאלי |
| CVE-2022-28348 | A-296463357 * | רחב | מאלי |
| CVE-2023-4211 | A-294605494 * | רחב | מאלי |
| CVE-2023-33200 | A-287627703 * | רחב | מאלי |
| CVE-2023-34970 | A-287624919 * | רחב | מאלי |
רכיבי MediaTek
נקודות החולשה האלה משפיעות על רכיבי MediaTek, ופרטים נוספים זמינים ישירות מ-MediaTek. הערכת חומרת הבעיות האלה מסופקת ישירות על ידי MediaTek.
| CVE | קובצי עזר | מידת החומרה | רכיב משנה |
|---|---|---|---|
| CVE-2023-20819 | A-294779648
M-MOLY01068234 * |
רחב | פרוטוקול CDMA PPP |
| CVE-2023-32819 | A-294779649
M-ALPS07993705 * |
רחב | מסך |
| CVE-2023-32820 | A-294781433
M-ALPS07932637 * |
רחב | קושחה של WLAN |
רכיבי Unisoc
נקודת החולשה באבטחה משפיעה על רכיבי Unisoc, ופרטים נוספים זמינים ישירות מ-Unisoc. הערכת חומרת הבעיה הזו מסופקת ישירות על ידי Unisoc.
| CVE | קובצי עזר | מידת החומרה | רכיב משנה |
|---|---|---|---|
| CVE-2023-40638 | A-296491611
U-2212107* |
רחב | Android |
רכיבי Qualcomm
נקודות החולשה האלה משפיעות על רכיבי Qualcomm, והן מתוארות בפירוט נוסף בעדכון האבטחה הדחוף או בהתראת האבטחה המתאימים של Qualcomm. חברת Qualcomm מספקת ישירות את הערכת חומרת הבעיות האלה.
| CVE | קובצי עזר | מידת החומרה | רכיב משנה |
|---|---|---|---|
| CVE-2023-33029 | A-290061916
QC-CR#3446314 |
רחב | בועה |
| CVE-2023-33034 | A-290060972
QC-CR#3438425 |
רחב | אודיו |
| CVE-2023-33035 | A-290061247
QC-CR#3438021 |
רחב | אודיו |
רכיבים של Qualcomm עם מקור סגור
הפגיעויות האלה משפיעות על רכיבים של Qualcomm בקוד סגור, והן מתוארות בפירוט נוסף בעדכון האבטחה הדחוף או בהתראת האבטחה המתאימים של Qualcomm. חברת Qualcomm מספקת ישירות את הערכת חומרת הבעיות האלה.
| CVE | קובצי עזר | מידת החומרה | רכיב משנה |
|---|---|---|---|
| CVE-2023-24855 | A-276750662 * | קריטית | רכיב מקור סגור |
| CVE-2023-28540 | A-276751073 * | קריטית | רכיב מקור סגור |
| CVE-2023-33028 | A-290060590 * | קריטית | רכיב מקור סגור |
| CVE-2023-21673 | A-276750698 * | רחב | רכיב מקור סגור |
| CVE-2023-22385 | A-276750699 * | רחב | רכיב מקור סגור |
| CVE-2023-24843 | A-276750762 * | רחב | רכיב מקור סגור |
| CVE-2023-24844 | A-276750872 * | רחב | רכיב מקור סגור |
| CVE-2023-24847 | A-276751090 * | רחב | רכיב מקור סגור |
| CVE-2023-24848 | A-276750995* | רחב | רכיב מקור סגור |
| CVE-2023-24849 | A-276751370* | רחב | רכיב מקור סגור |
| CVE-2023-24850 | A-276751108 * | רחב | רכיב מקור סגור |
| CVE-2023-24853 | A-276751372 * | רחב | רכיב מקור סגור |
| CVE-2023-33026 | A-290061996 * | רחב | רכיב מקור סגור |
| CVE-2023-33027 | A-290061249 * | רחב | רכיב מקור סגור |
2023-10-06 פרטים על פגיעות ברמת תיקון האבטחה
בקטעים הבאים מפורטות כל פגיעויות האבטחה שרלוונטיות לרמת התיקון 2023-10-06. נקודות החולשה מקובצות לפי הרכיב שהן משפיעות עליו. בטבלאות הבאות מתוארות הבעיות, כולל מזהה CVE, הפניות משויכות, סוג נקודת החולשה, חומרת הבעיה וגרסאות AOSP מעודכנות (אם רלוונטי). אם יש שינוי ציבורי שפותר את הבעיה, אנחנו מקשרים אותו למזהה הבאג, כמו רשימת השינויים של AOSP. אם כמה שינויים קשורים לאותו באג, הפניות הנוספות מקושרות למספרים שאחרי מזהה הבאג.
מערכת
הפגיעות שמתוארת בקטע הזה עלולה להוביל לניצול לרעה ללא אינטראקציה מצד המשתמש.
| CVE | קובצי עזר | סוג | מידת החומרה | גרסאות AOSP מעודכנות |
|---|---|---|---|---|
| CVE-2023-4863 | A-299477569 | RCE | קריטית | 11, 12, 12L, 13, 14 |
שאלות ותשובות נפוצות
בקטע הזה תמצאו תשובות לשאלות נפוצות שעשויות להתעורר אחרי קריאת ההודעה הזו.
1. איך אפשר לדעת אם המכשיר שלי עודכן כדי לפתור את הבעיות האלה?
כדי לדעת איך בודקים את רמת תיקון האבטחה של מכשיר, אפשר לעיין במאמר בנושא בדיקה ועדכון של גרסת Android.
- רמות תיקון האבטחה מ-2023-10-01 ואילך מטפלות בכל הבעיות שקשורות לרמת תיקון האבטחה מ-2023-10-01.
- רמות תיקון האבטחה מ-2023-10-05 ואילך מטפלות בכל הבעיות שמשויכות לרמת תיקון האבטחה מ-2023-10-05 ולכל רמות התיקון הקודמות.
- רמות תיקון האבטחה מ-2023-10-06 ואילך מטפלות בכל הבעיות שמשויכות לרמת תיקון האבטחה מ-2023-10-06 ולכל רמות התיקון הקודמות.
יצרני מכשירים שכוללים את העדכונים האלה צריכים להגדיר את הרמה של מחרוזת התיקון כך:
- [ro.build.version.security_patch]:[2023-10-01]
- [ro.build.version.security_patch]:[2023-10-05]
- [ro.build.version.security_patch]:[2023-10-06]
במכשירים מסוימים עם Android 10 ואילך, עדכון המערכת של Google Play יכלול מחרוזת תאריך שתואמת לרמה של תיקון האבטחה 2023-10-01. במאמר הזה מוסבר איך להתקין עדכוני אבטחה.
2. למה בפרסום הזה יש שלוש רמות של תיקוני אבטחה?
במאמר הזה יש שלוש רמות של תיקוני אבטחה, כדי שלשותפי Android תהיה גמישות לתקן במהירות תת-קבוצה של פגיעויות שדומות בכל מכשירי Android. מומלץ לשותפי Android לתקן את כל הבעיות שמופיעות בפרסום הזה ולהשתמש ברמת תיקון האבטחה העדכנית ביותר.
- מכשירים שמשתמשים ברמת התיקון לפגיעויות באבטחה 2023-10-01 חייבים לכלול את כל הבעיות שמשויכות לרמת התיקון הזו לפגיעויות באבטחה, וגם תיקונים לכל הבעיות שדווחו בפרסומים קודמים בנושא אבטחה.
- מכשירים שמשתמשים ברמת תיקון האבטחה 2023-10-05 או חדשה יותר חייבים לכלול את כל התיקונים הרלוונטיים בפרסום הזה (ובפרסומים קודמים) בנושא אבטחה.
- מכשירים שמשתמשים ברמה של תיקוני האבטחה מ-2023-10-06 או בגרסה חדשה יותר חייבים לכלול את כל התיקונים הרלוונטיים בפרסום הזה (ובפרסומים קודמים) בנושא אבטחה.
אנחנו ממליצים לשותפים לאגד את התיקונים לכל הבעיות שהם מטפלים בהן בעדכון אחד.
3. מה המשמעות של הערכים בעמודה Type (סוג)?
הערכים בעמודה סוג בטבלה עם פרטי נקודת החולשה מפנים לסיווג של נקודת החולשה באבטחה.
| קיצור | הגדרה |
|---|---|
| RCE | ביצוע קוד מרחוק |
| EoP | העלאת רמת ההרשאה |
| מזהה | גילוי נאות לגבי מידע |
| DoS | מניעת שירות |
| לא רלוונטי | הסיווג לא זמין |
4. מה המשמעות של הערכים בעמודה הפניות?
הערכים בעמודה References בטבלה של פרטי הפגיעות עשויים להכיל קידומת שמזהה את הארגון שאליו שייך ערך ההפניה.
| תחילית | חומרי עזר |
|---|---|
| A- | מזהה באג ב-Android |
| QC- | מספר סימוכין של Qualcomm |
| M- | מספר סימוכין של MediaTek |
| N- | מספר סימוכין של NVIDIA |
| B- | מספר סימוכין של Broadcom |
| U- | מספר סימוכין של UNISOC |
5. מה המשמעות של הכוכבית (*) לצד מזהה הבאג ב-Android בעמודה References?
בעיות שלא זמינות לציבור מסומנות בכוכבית (*) ליד מזהה ההפניה המתאים. העדכון לבעיה הזו בדרך כלל כלול במנהלי ההתקנים הבינאריים העדכניים ביותר למכשירי Pixel שזמינים באתר Google Developers.
6. למה פרצות האבטחה מחולקות בין העלון הזה לבין עלוני אבטחה של מכשירים או שותפים, כמו עלון Pixel?
כדי להצהיר על הרמה העדכנית ביותר של תיקוני אבטחה במכשירי Android, צריך לתקן את נקודות החולשה באבטחה שמתועדות בחדשות האבטחה האלה. לא נדרש תיעוד של נקודות חולשה נוספות באבטחה שמופיעות בפרסומים בנושא אבטחה של המכשיר או השותף כדי להצהיר על רמה של תיקוני אבטחה. יצרנים של מכשירי Android וערכות שבבים עשויים לפרסם גם פרטים על פגיעויות אבטחה שספציפיות למוצרים שלהם, כמו Google, Huawei, LGE, Motorola, Nokia או Samsung.
גרסאות
| גרסה | תאריך | הערות |
|---|---|---|
| 1.0 | 2 באוקטובר 2023 | Bulletin published |