Boletín de seguridad de Android: octubre de 2023

Publicado el 2 de octubre de 2023 | Actualización: 26 de julio de 2024

El Boletín de seguridad de Android contiene detalles sobre las vulnerabilidades de seguridad que afectan a los dispositivos Android. Los niveles de parches de seguridad 2023-10-06 o una posterior, en la que se abordarán todos estos problemas. Para obtener información sobre cómo comprobar el nivel de parche de seguridad de un dispositivo, consulta Consulta y actualiza tu versión de Android.

Los socios de Android reciben notificaciones de todos los problemas al menos un mes antes. publicación. Se lanzaron parches de código fuente para estos problemas en la biblioteca Open Android Open. Proyecto fuente (AOSP) y vinculado desde este boletín. Este boletín también incluye vínculos a parches fuera del AOSP.

La evaluación de gravedad se basa en el efecto que que podría aprovechar la vulnerabilidad en un dispositivo afectado, suponiendo que las mitigaciones de la plataforma y los servicios estén desactivadas para el desarrollo, o si se puede omitir con éxito.

Consulta el artículo Android y Google Play Protect la sección de mitigaciones para obtener detalles sobre la Plataforma de seguridad de Android de seguridad y Google Play Protect, que mejoran la seguridad del plataforma de Android.

Servicio de Android y Google mitigaciones

Este es un resumen de las mitigaciones que ofrece la Plataforma de seguridad de Android y protecciones de servicios, como Google Play Proteger. Estas capacidades reducen la probabilidad de que la seguridad vulnerabilidades podrían aprovecharse con éxito en Android.

  • La explotación de muchos problemas en Android se dificulta más en versiones más recientes de la plataforma de Android. Alentamos a todos usuarios para actualizar a la versión más reciente de Android cuando sea posible.
  • El equipo de seguridad de Android supervisa activamente los abusos mediante Google Play Protect y advierte a los usuarios sobre Posiblemente Aplicaciones dañinas. Google Play Protect está habilitado de forma predeterminada en dispositivos con Google Dispositivo móvil de Google Cloud y es especialmente importante para los usuarios que instalan apps de fuera de Google Play.

1/10/2023 detalles de vulnerabilidades a nivel de parche de seguridad

En las siguientes secciones, proporcionamos detalles sobre cada una de las vulnerabilidades que se aplican al nivel de parche 10/10/2023. Las vulnerabilidades se agrupan bajo el componente que afectan. Los problemas se describen en las siguientes tablas e incluyen el ID de CVE, asociado referencias, tipo de vulnerabilidad, gravedad, y versiones actualizadas del AOSP (si corresponde). Cuando esté disponible, vincularemos el cambio público que solucionó el problema a la ID de errores, como la lista de cambios de AOSP. Cuando varios cambios se relacionan con un solo error, las referencias adicionales son se vinculan a números después del ID del error. Los dispositivos con Android 10 y versiones posteriores pueden recibir actualizaciones de seguridad, así como Google Actualizaciones del sistema de Play

Framework

La vulnerabilidad más grave en esta sección podría causar problemas derivación de sin privilegios de ejecución adicionales.

CVE Referencias Tipo Gravedad Versiones del AOSP actualizadas
CVE‐2023‐40116 A‐270368476 [2] Fin Alto 11, 12 y 12L
CVE‐2023‐40120 A‐274775190 Fin Alto 11, 12, 12L y 13
CVE‐2023‐40131 A‐282919145 Fin Alto 12, 12L y 13
CVE‐2023‐40140 A‐274058082 Fin Alto 11, 12, 12L y 13
CVE‐2023‐21291 A‐277593270 ID Alto 11, 12, 12L y 13
CVE‐2023‐40121 A‐224771621 ID Alto 11, 12, 12L y 13
CVE‐2023‐40134 A‐283101289 ID Alto 12, 12L y 13
CVE‐2023‐40136 A‐281666022 ID Alto 11, 12, 12L y 13
CVE‐2023‐40137 A‐281665050 ID Alto 11, 12, 12L y 13
CVE‐2023‐40138 A‐281534749 ID Alto 11, 12, 12L y 13
CVE‐2023‐40139 A‐281533566 ID Alto 11, 12, 12L y 13

Sistema

La vulnerabilidad más grave en esta sección podría provocar que la seguridad de Ejecución de código (proximal/adyacente) sin privilegios de ejecución adicionales según tus necesidades.

CVE Referencias Tipo Gravedad Versiones del AOSP actualizadas
CVE‐2023‐40129 A‐273874525 RCE Crítico 12, 12L y 13
CVE‐2023‐21244 A‐276729064 [2] [3] Fin Alto 11, 12, 12L y 13
CVE‐2023‐40117 A‐253043065 [2] Fin Alto 11, 12, 12L y 13
CVE‐2023‐40125 A‐279902472 Fin Alto 11, 12, 12L y 13
CVE‐2023‐40128 A‐274231102 Fin Alto 11, 12, 12L y 13
CVE‐2023‐40130 A‐289809991 Fin Alto 11, 12, 12L y 13
CVE‐2023‐40123 A‐278246904 ID Alto 11, 12, 12L y 13
CVE‐2023‐40127 A‐262244882 ID Alto 11, 12, 12L y 13
CVE‐2023‐40133 A‐283264674 ID Alto 11, 12, 12L y 13
CVE‐2023‐40135 A‐281848557 ID Alto 11, 12, 12L y 13
CVE‐2023‐21252 A‐275339978 [2] DoS Alto 11, 12, 12L y 13
CVE‐2023‐21253 A‐266580022 [2] [3] DoS Alto 11, 12, 12L y 13

Actualizaciones del sistema de Google Play

Los siguientes problemas se incluyen en los componentes de línea principal del proyecto.

Subcomponente CVE
Proveedor de medios CVE‐2023‐40127
Wi-Fi CVE‐2023‐21252

05-10-2023 detalles de vulnerabilidades a nivel de parche de seguridad

En las siguientes secciones, proporcionamos detalles sobre cada una de las vulnerabilidades que se aplican al nivel de parche 2023-10-05. Las vulnerabilidades se agrupan bajo el componente que afectan. Los problemas se describen en las siguientes tablas e incluyen el ID de CVE, asociado referencias, tipo de vulnerabilidad, gravedad, y versiones actualizadas del AOSP (si corresponde). Cuando esté disponible, vincularemos el cambio público que solucionó el problema a la ID de errores, como la lista de cambios de AOSP. Cuando varios cambios se relacionan con un solo error, las referencias adicionales son se vinculan a números después del ID del error.

Componentes de ARM

Estas vulnerabilidades afectan los componentes de Arm y hay más detalles disponibles directamente desde Arm. Se proporciona una evaluación de la gravedad de estos problemas. directamente por Arm.

CVE Referencias Gravedad Subcomponente
CVE‐2021‐44828 A-296461583 * Alto Mali
CVE‐2022‐28348 A-296463357 * Alto Mali
CVE‐2023‐4211 A-294605494 * Alto Mali
CVE‐2023‐33200 A-287627703 * Alto Mali
CVE‐2023‐34970 A-287624919 * Alto Mali

Componentes de MediaTek

Estas vulnerabilidades afectan a los componentes de MediaTek y se dispone de más detalles disponible directamente en MediaTek. MediaTek se encarga directamente de la evaluación de la gravedad de estos problemas.

CVE Referencias Gravedad Subcomponente
CVE‐2023‐20819 A-294779648
M-MOLY01068234 *
Alto Protocolo CDMA PPP
CVE‐2023‐32819 A-294779649
M-ALPS07993705 *
Alto mostrar
CVE‐2023‐32820 A-294781433
M-ALPS07932637 *
Alto firmware wlan

Componentes Unisoc

Esta vulnerabilidad afecta a los componentes de Unisoc. Se dispone de más detalles disponible directamente de la Unisoc. La evaluación de la gravedad de este problema la proporciona directamente la Unisoc.

CVE Referencias Gravedad Subcomponente
CVE‐2023‐40638 A-296491611
U‐2212107*
Alto Android

Componentes de Qualcomm

Estas vulnerabilidades afectan a los componentes de Qualcomm y se describen en más detalle en el boletín de seguridad o en la alerta de seguridad de Qualcomm. Qualcomm proporciona directamente la evaluación de la gravedad de estos problemas.

CVE Referencias Gravedad Subcomponente
CVE‐2023‐33029 A-290061916
QC-CR#3446314
Alto Kernel
CVE‐2023‐33034 A-290060972
QC-CR#3438425
Alto Audio
CVE‐2023‐33035 A-290061247
QC-CR#3438021
Alto Audio

Componentes de código cerrado de Qualcomm

Estas vulnerabilidades afectan a los componentes de código cerrado de Qualcomm y son se describen con más detalle en el boletín de seguridad de Qualcomm o en los alerta de seguridad. Qualcomm proporciona directamente la evaluación de la gravedad de estos problemas.

CVE Referencias Gravedad Subcomponente
CVE‐2023‐24855 A-276750662 * Crítico Componente de código cerrado
CVE‐2023‐28540 A-276751073 * Crítico Componente de código cerrado
CVE‐2023‐33028 A-290060590 * Crítico Componente de código cerrado
CVE‐2023‐21673 A-276750698 * Alto Componente de código cerrado
CVE‐2023‐22385 A-276750699 * Alto Componente de código cerrado
CVE‐2023‐24843 A-276750762 * Alto Componente de código cerrado
CVE‐2023‐24844 A-276750872 * Alto Componente de código cerrado
CVE‐2023‐24847 A-276751090 * Alto Componente de código cerrado
CVE‐2023‐24848 A-276750995* Alto Componente de código cerrado
CVE‐2023‐24849 A-276751370* Alto Componente de código cerrado
CVE‐2023‐24850 A-276751108 * Alto Componente de código cerrado
CVE‐2023‐24853 A-276751372 * Alto Componente de código cerrado
CVE‐2023‐33026 A‐290061996 * Alto Componente de código cerrado
CVE‐2023‐33027 A-290061249 * Alto Componente de código cerrado

6/10/2023 detalles de vulnerabilidades a nivel de parche de seguridad

En las siguientes secciones, proporcionamos detalles sobre cada una de las vulnerabilidades que se aplican al nivel de parche 6/10/2023. Las vulnerabilidades se agrupan bajo el componente que afectan. Los problemas se describen en las siguientes tablas e incluyen el ID de CVE, asociado referencias, tipo de vulnerabilidad, gravedad, y versiones actualizadas del AOSP (si corresponde). Cuando esté disponible, vincularemos el cambio público que solucionó el problema a la ID de errores, como la lista de cambios de AOSP. Cuando varios cambios se relacionan con un solo error, las referencias adicionales son se vinculan a números después del ID del error.

Sistema

La vulnerabilidad de esta sección podría provocar un ataque sin interacción del usuario.

CVE Referencias Tipo Gravedad Versiones del AOSP actualizadas
CVE‐2023‐4863 A-299477569 RCE Crítico 11, 12, 12L y 13

Preguntas y respuestas frecuentes

En esta sección, se responden preguntas comunes que pueden surgir después de leer esta en el boletín informativo.

1. ¿Cómo puedo determinar si mi dispositivo está actualizado para abordar estas situaciones? problemas?

Para obtener información sobre cómo comprobar el nivel de parche de seguridad de un dispositivo, consulta Consulta y actualiza tu versión de Android.

  • Niveles de parches de seguridad del 01-10-2023 o la dirección posterior todos los problemas asociados con el parche de seguridad del 1/10/2023 a nivel de organización.
  • Niveles de parche de seguridad del 05-10-2023 o una dirección posterior todos los problemas asociados con el parche de seguridad del 5/10/2023 de seguridad y todos los niveles de parche anteriores.
  • Niveles de parche de seguridad del 6/10/2023 o una dirección posterior todos los problemas asociados con el parche de seguridad del 6/10/2023 de seguridad y todos los niveles de parche anteriores.

Los fabricantes de dispositivos que incluyan estas actualizaciones deben establecer la cadena de parche. nivel para:

  • [ro.build.version.security_patch]:[2023-10-01]
  • [ro.build.version.security_patch]:[2023-10-05]
  • [ro.build.version.security_patch]:[2023-10-06]

En algunos dispositivos con Android 10 o versiones posteriores, la actualización del sistema de Google Play tendrá una cadena de fecha que coincida con el período a nivel de parche de seguridad. Consulta este artículo para obtener más detalles sobre cómo instalar actualizaciones de seguridad.

2. ¿Por qué este boletín tiene tres niveles de parches de seguridad?

Este boletín tiene tres niveles de parches de seguridad para que los socios de Android puedan la flexibilidad para corregir un subconjunto de vulnerabilidades que son similares en todas dispositivos Android más rápido. Se recomienda a los socios de Android que corrijan todo en este boletín y usen el nivel de parche de seguridad más reciente.

  • Dispositivos que usan el nivel de parche de seguridad del 1/10/2023 debe incluir todos los problemas asociados con ese nivel de parche de seguridad, así como como correcciones para todos los problemas informados en boletines de seguridad anteriores.
  • Dispositivos que usan el nivel de parche de seguridad del 5/10/2023 o versiones posteriores deben incluir todos los parches aplicables de esta seguridad (y las anteriores) boletines.
  • Dispositivos que usan el nivel de parche de seguridad del 6/10/2023 o versiones posteriores deben incluir todos los parches aplicables de esta seguridad (y las anteriores) boletines.

Se recomienda a los socios que agrupen las correcciones para todos los problemas que abordar en una sola actualización.

3. ¿Qué significan las entradas en la columna Tipo?

Entradas en la columna Tipo de la tabla de detalles de la vulnerabilidad hacer referencia a la clasificación de la vulnerabilidad de seguridad.

Abreviatura Definición
RCE Ejecución de código remoto
Fin Elevación de privilegio
ID Divulgación de información
DoS Denegación del servicio
N/A Clasificación no disponible

4. ¿Qué significan las entradas en la columna Referencias?

Entradas en la columna Referencias de los detalles de la vulnerabilidad puede contener un prefijo que identifique la organización a la que referencia .

Prefijo Referencia
A- ID de error de Android
Control de calidad- Número de referencia de Qualcomm
M- Número de referencia de MediaTek
N- Número de referencia de NVIDIA
B- Número de referencia de Broadcom
U- Número de referencia de la UNISOC

5. ¿Qué significa un * junto al ID de error de Android en las Referencias la media de la columna?

Las ediciones que no están disponibles públicamente tienen un * junto a la ID de referencia. La actualización de ese problema suele estar incluida en la versión más reciente. controladores binarios para dispositivos Pixel disponibles en la Google Sitio para desarrolladores.

6. ¿Por qué las vulnerabilidades de seguridad se dividen entre este boletín y boletines de seguridad del dispositivo / socio, como el Boletín informativo de Pixel?

Las vulnerabilidades de seguridad documentadas en este boletín de seguridad son necesario para declarar el nivel de parche de seguridad más reciente en Android dispositivos. Vulnerabilidades de seguridad adicionales documentadas en el los boletines de seguridad del dispositivo / socio no son necesarios para declarando un nivel de parche de seguridad. Fabricantes de dispositivos Android y chipsset también pueden publicar detalles de vulnerabilidades de seguridad específicos de sus productos, como, por ejemplo, Google: Huawei LGE, Motorola, Nokia o Samsung.

Versiones

Versión Fecha Notas
1.0 2 de octubre de 2023 Publicación del boletín