El Boletín de seguridad de Android contiene detalles sobre las vulnerabilidades de seguridad que afectan a los dispositivos Android. Los niveles de parches de seguridad 2023-10-06 o una posterior, en la que se abordarán todos estos problemas. Para obtener información sobre cómo comprobar el nivel de parche de seguridad de un dispositivo, consulta Consulta y actualiza tu versión de Android.
Los socios de Android reciben notificaciones de todos los problemas al menos un mes antes. publicación. Se lanzaron parches de código fuente para estos problemas en la biblioteca Open Android Open. Proyecto fuente (AOSP) y vinculado desde este boletín. Este boletín también incluye vínculos a parches fuera del AOSP.
La evaluación de gravedad se basa en el efecto que que podría aprovechar la vulnerabilidad en un dispositivo afectado, suponiendo que las mitigaciones de la plataforma y los servicios estén desactivadas para el desarrollo, o si se puede omitir con éxito.
Consulta el artículo Android y Google Play Protect la sección de mitigaciones para obtener detalles sobre la Plataforma de seguridad de Android de seguridad y Google Play Protect, que mejoran la seguridad del plataforma de Android.
Servicio de Android y Google mitigaciones
Este es un resumen de las mitigaciones que ofrece la Plataforma de seguridad de Android y protecciones de servicios, como Google Play Proteger. Estas capacidades reducen la probabilidad de que la seguridad vulnerabilidades podrían aprovecharse con éxito en Android.
- La explotación de muchos problemas en Android se dificulta más en versiones más recientes de la plataforma de Android. Alentamos a todos usuarios para actualizar a la versión más reciente de Android cuando sea posible.
- El equipo de seguridad de Android supervisa activamente los abusos mediante Google Play Protect y advierte a los usuarios sobre Posiblemente Aplicaciones dañinas. Google Play Protect está habilitado de forma predeterminada en dispositivos con Google Dispositivo móvil de Google Cloud y es especialmente importante para los usuarios que instalan apps de fuera de Google Play.
1/10/2023 detalles de vulnerabilidades a nivel de parche de seguridad
En las siguientes secciones, proporcionamos detalles sobre cada una de las vulnerabilidades que se aplican al nivel de parche 10/10/2023. Las vulnerabilidades se agrupan bajo el componente que afectan. Los problemas se describen en las siguientes tablas e incluyen el ID de CVE, asociado referencias, tipo de vulnerabilidad, gravedad, y versiones actualizadas del AOSP (si corresponde). Cuando esté disponible, vincularemos el cambio público que solucionó el problema a la ID de errores, como la lista de cambios de AOSP. Cuando varios cambios se relacionan con un solo error, las referencias adicionales son se vinculan a números después del ID del error. Los dispositivos con Android 10 y versiones posteriores pueden recibir actualizaciones de seguridad, así como Google Actualizaciones del sistema de Play
Framework
La vulnerabilidad más grave en esta sección podría causar problemas derivación de sin privilegios de ejecución adicionales.
| CVE | Referencias | Tipo | Gravedad | Versiones del AOSP actualizadas |
|---|---|---|---|---|
| CVE‐2023‐40116 | A‐270368476 [2] | Fin | Alto | 11, 12 y 12L |
| CVE‐2023‐40120 | A‐274775190 | Fin | Alto | 11, 12, 12L y 13 |
| CVE‐2023‐40131 | A‐282919145 | Fin | Alto | 12, 12L y 13 |
| CVE‐2023‐40140 | A‐274058082 | Fin | Alto | 11, 12, 12L y 13 |
| CVE‐2023‐21291 | A‐277593270 | ID | Alto | 11, 12, 12L y 13 |
| CVE‐2023‐40121 | A‐224771621 | ID | Alto | 11, 12, 12L y 13 |
| CVE‐2023‐40134 | A‐283101289 | ID | Alto | 12, 12L y 13 |
| CVE‐2023‐40136 | A‐281666022 | ID | Alto | 11, 12, 12L y 13 |
| CVE‐2023‐40137 | A‐281665050 | ID | Alto | 11, 12, 12L y 13 |
| CVE‐2023‐40138 | A‐281534749 | ID | Alto | 11, 12, 12L y 13 |
| CVE‐2023‐40139 | A‐281533566 | ID | Alto | 11, 12, 12L y 13 |
Sistema
La vulnerabilidad más grave en esta sección podría provocar que la seguridad de Ejecución de código (proximal/adyacente) sin privilegios de ejecución adicionales según tus necesidades.
| CVE | Referencias | Tipo | Gravedad | Versiones del AOSP actualizadas |
|---|---|---|---|---|
| CVE‐2023‐40129 | A‐273874525 | RCE | Crítico | 12, 12L y 13 |
| CVE‐2023‐21244 | A‐276729064 [2] [3] | Fin | Alto | 11, 12, 12L y 13 |
| CVE‐2023‐40117 | A‐253043065 [2] | Fin | Alto | 11, 12, 12L y 13 |
| CVE‐2023‐40125 | A‐279902472 | Fin | Alto | 11, 12, 12L y 13 |
| CVE‐2023‐40128 | A‐274231102 | Fin | Alto | 11, 12, 12L y 13 |
| CVE‐2023‐40130 | A‐289809991 | Fin | Alto | 11, 12, 12L y 13 |
| CVE‐2023‐40123 | A‐278246904 | ID | Alto | 11, 12, 12L y 13 |
| CVE‐2023‐40127 | A‐262244882 | ID | Alto | 11, 12, 12L y 13 |
| CVE‐2023‐40133 | A‐283264674 | ID | Alto | 11, 12, 12L y 13 |
| CVE‐2023‐40135 | A‐281848557 | ID | Alto | 11, 12, 12L y 13 |
| CVE‐2023‐21252 | A‐275339978 [2] | DoS | Alto | 11, 12, 12L y 13 |
| CVE‐2023‐21253 | A‐266580022 [2] [3] | DoS | Alto | 11, 12, 12L y 13 |
Actualizaciones del sistema de Google Play
Los siguientes problemas se incluyen en los componentes de línea principal del proyecto.
| Subcomponente | CVE |
|---|---|
| Proveedor de medios | CVE‐2023‐40127 |
| Wi-Fi | CVE‐2023‐21252 |
05-10-2023 detalles de vulnerabilidades a nivel de parche de seguridad
En las siguientes secciones, proporcionamos detalles sobre cada una de las vulnerabilidades que se aplican al nivel de parche 2023-10-05. Las vulnerabilidades se agrupan bajo el componente que afectan. Los problemas se describen en las siguientes tablas e incluyen el ID de CVE, asociado referencias, tipo de vulnerabilidad, gravedad, y versiones actualizadas del AOSP (si corresponde). Cuando esté disponible, vincularemos el cambio público que solucionó el problema a la ID de errores, como la lista de cambios de AOSP. Cuando varios cambios se relacionan con un solo error, las referencias adicionales son se vinculan a números después del ID del error.
Componentes de ARM
Estas vulnerabilidades afectan los componentes de Arm y hay más detalles disponibles directamente desde Arm. Se proporciona una evaluación de la gravedad de estos problemas. directamente por Arm.
| CVE | Referencias | Gravedad | Subcomponente |
|---|---|---|---|
| CVE‐2021‐44828 | A-296461583 * | Alto | Mali |
| CVE‐2022‐28348 | A-296463357 * | Alto | Mali |
| CVE‐2023‐4211 | A-294605494 * | Alto | Mali |
| CVE‐2023‐33200 | A-287627703 * | Alto | Mali |
| CVE‐2023‐34970 | A-287624919 * | Alto | Mali |
Componentes de MediaTek
Estas vulnerabilidades afectan a los componentes de MediaTek y se dispone de más detalles disponible directamente en MediaTek. MediaTek se encarga directamente de la evaluación de la gravedad de estos problemas.
| CVE | Referencias | Gravedad | Subcomponente |
|---|---|---|---|
| CVE‐2023‐20819 | A-294779648
M-MOLY01068234 * |
Alto | Protocolo CDMA PPP |
| CVE‐2023‐32819 | A-294779649
M-ALPS07993705 * |
Alto | mostrar |
| CVE‐2023‐32820 | A-294781433
M-ALPS07932637 * |
Alto | firmware wlan |
Componentes Unisoc
Esta vulnerabilidad afecta a los componentes de Unisoc. Se dispone de más detalles disponible directamente de la Unisoc. La evaluación de la gravedad de este problema la proporciona directamente la Unisoc.
| CVE | Referencias | Gravedad | Subcomponente |
|---|---|---|---|
| CVE‐2023‐40638 | A-296491611
U‐2212107* |
Alto | Android |
Componentes de Qualcomm
Estas vulnerabilidades afectan a los componentes de Qualcomm y se describen en más detalle en el boletín de seguridad o en la alerta de seguridad de Qualcomm. Qualcomm proporciona directamente la evaluación de la gravedad de estos problemas.
| CVE | Referencias | Gravedad | Subcomponente |
|---|---|---|---|
| CVE‐2023‐33029 | A-290061916
QC-CR#3446314 |
Alto | Kernel |
| CVE‐2023‐33034 | A-290060972
QC-CR#3438425 |
Alto | Audio |
| CVE‐2023‐33035 | A-290061247
QC-CR#3438021 |
Alto | Audio |
Componentes de código cerrado de Qualcomm
Estas vulnerabilidades afectan a los componentes de código cerrado de Qualcomm y son se describen con más detalle en el boletín de seguridad de Qualcomm o en los alerta de seguridad. Qualcomm proporciona directamente la evaluación de la gravedad de estos problemas.
| CVE | Referencias | Gravedad | Subcomponente |
|---|---|---|---|
| CVE‐2023‐24855 | A-276750662 * | Crítico | Componente de código cerrado |
| CVE‐2023‐28540 | A-276751073 * | Crítico | Componente de código cerrado |
| CVE‐2023‐33028 | A-290060590 * | Crítico | Componente de código cerrado |
| CVE‐2023‐21673 | A-276750698 * | Alto | Componente de código cerrado |
| CVE‐2023‐22385 | A-276750699 * | Alto | Componente de código cerrado |
| CVE‐2023‐24843 | A-276750762 * | Alto | Componente de código cerrado |
| CVE‐2023‐24844 | A-276750872 * | Alto | Componente de código cerrado |
| CVE‐2023‐24847 | A-276751090 * | Alto | Componente de código cerrado |
| CVE‐2023‐24848 | A-276750995* | Alto | Componente de código cerrado |
| CVE‐2023‐24849 | A-276751370* | Alto | Componente de código cerrado |
| CVE‐2023‐24850 | A-276751108 * | Alto | Componente de código cerrado |
| CVE‐2023‐24853 | A-276751372 * | Alto | Componente de código cerrado |
| CVE‐2023‐33026 | A‐290061996 * | Alto | Componente de código cerrado |
| CVE‐2023‐33027 | A-290061249 * | Alto | Componente de código cerrado |
6/10/2023 detalles de vulnerabilidades a nivel de parche de seguridad
En las siguientes secciones, proporcionamos detalles sobre cada una de las vulnerabilidades que se aplican al nivel de parche 6/10/2023. Las vulnerabilidades se agrupan bajo el componente que afectan. Los problemas se describen en las siguientes tablas e incluyen el ID de CVE, asociado referencias, tipo de vulnerabilidad, gravedad, y versiones actualizadas del AOSP (si corresponde). Cuando esté disponible, vincularemos el cambio público que solucionó el problema a la ID de errores, como la lista de cambios de AOSP. Cuando varios cambios se relacionan con un solo error, las referencias adicionales son se vinculan a números después del ID del error.
Sistema
La vulnerabilidad de esta sección podría provocar un ataque sin interacción del usuario.
| CVE | Referencias | Tipo | Gravedad | Versiones del AOSP actualizadas |
|---|---|---|---|---|
| CVE‐2023‐4863 | A-299477569 | RCE | Crítico | 11, 12, 12L y 13 |
Preguntas y respuestas frecuentes
En esta sección, se responden preguntas comunes que pueden surgir después de leer esta en el boletín informativo.
1. ¿Cómo puedo determinar si mi dispositivo está actualizado para abordar estas situaciones? problemas?
Para obtener información sobre cómo comprobar el nivel de parche de seguridad de un dispositivo, consulta Consulta y actualiza tu versión de Android.
- Niveles de parches de seguridad del 01-10-2023 o la dirección posterior todos los problemas asociados con el parche de seguridad del 1/10/2023 a nivel de organización.
- Niveles de parche de seguridad del 05-10-2023 o una dirección posterior todos los problemas asociados con el parche de seguridad del 5/10/2023 de seguridad y todos los niveles de parche anteriores.
- Niveles de parche de seguridad del 6/10/2023 o una dirección posterior todos los problemas asociados con el parche de seguridad del 6/10/2023 de seguridad y todos los niveles de parche anteriores.
Los fabricantes de dispositivos que incluyan estas actualizaciones deben establecer la cadena de parche. nivel para:
- [ro.build.version.security_patch]:[2023-10-01]
- [ro.build.version.security_patch]:[2023-10-05]
- [ro.build.version.security_patch]:[2023-10-06]
En algunos dispositivos con Android 10 o versiones posteriores, la actualización del sistema de Google Play tendrá una cadena de fecha que coincida con el período a nivel de parche de seguridad. Consulta este artículo para obtener más detalles sobre cómo instalar actualizaciones de seguridad.
2. ¿Por qué este boletín tiene tres niveles de parches de seguridad?
Este boletín tiene tres niveles de parches de seguridad para que los socios de Android puedan la flexibilidad para corregir un subconjunto de vulnerabilidades que son similares en todas dispositivos Android más rápido. Se recomienda a los socios de Android que corrijan todo en este boletín y usen el nivel de parche de seguridad más reciente.
- Dispositivos que usan el nivel de parche de seguridad del 1/10/2023 debe incluir todos los problemas asociados con ese nivel de parche de seguridad, así como como correcciones para todos los problemas informados en boletines de seguridad anteriores.
- Dispositivos que usan el nivel de parche de seguridad del 5/10/2023 o versiones posteriores deben incluir todos los parches aplicables de esta seguridad (y las anteriores) boletines.
- Dispositivos que usan el nivel de parche de seguridad del 6/10/2023 o versiones posteriores deben incluir todos los parches aplicables de esta seguridad (y las anteriores) boletines.
Se recomienda a los socios que agrupen las correcciones para todos los problemas que abordar en una sola actualización.
3. ¿Qué significan las entradas en la columna Tipo?
Entradas en la columna Tipo de la tabla de detalles de la vulnerabilidad hacer referencia a la clasificación de la vulnerabilidad de seguridad.
| Abreviatura | Definición |
|---|---|
| RCE | Ejecución de código remoto |
| Fin | Elevación de privilegio |
| ID | Divulgación de información |
| DoS | Denegación del servicio |
| N/A | Clasificación no disponible |
4. ¿Qué significan las entradas en la columna Referencias?
Entradas en la columna Referencias de los detalles de la vulnerabilidad puede contener un prefijo que identifique la organización a la que referencia .
| Prefijo | Referencia |
|---|---|
| A- | ID de error de Android |
| Control de calidad- | Número de referencia de Qualcomm |
| M- | Número de referencia de MediaTek |
| N- | Número de referencia de NVIDIA |
| B- | Número de referencia de Broadcom |
| U- | Número de referencia de la UNISOC |
5. ¿Qué significa un * junto al ID de error de Android en las Referencias la media de la columna?
Las ediciones que no están disponibles públicamente tienen un * junto a la ID de referencia. La actualización de ese problema suele estar incluida en la versión más reciente. controladores binarios para dispositivos Pixel disponibles en la Google Sitio para desarrolladores.
6. ¿Por qué las vulnerabilidades de seguridad se dividen entre este boletín y boletines de seguridad del dispositivo / socio, como el Boletín informativo de Pixel?
Las vulnerabilidades de seguridad documentadas en este boletín de seguridad son necesario para declarar el nivel de parche de seguridad más reciente en Android dispositivos. Vulnerabilidades de seguridad adicionales documentadas en el los boletines de seguridad del dispositivo / socio no son necesarios para declarando un nivel de parche de seguridad. Fabricantes de dispositivos Android y chipsset también pueden publicar detalles de vulnerabilidades de seguridad específicos de sus productos, como, por ejemplo, Google: Huawei LGE, Motorola, Nokia o Samsung.
Versiones
| Versión | Fecha | Notas |
|---|---|---|
| 1.0 | 2 de octubre de 2023 | Publicación del boletín |