Bulletin sur la sécurité d'Android – Octobre 2023

Publié le 2 octobre 2023 | Mis à jour le 26 juillet 2024

Le bulletin sur la sécurité d'Android contient des informations sur les failles de sécurité affectant les appareils Android. Niveaux du correctif de sécurité à partir du 06/10/2023. Pour savoir comment vérifier le niveau du correctif de sécurité d'un appareil, consultez Vérifiez la version d'Android installée et mettez-la à jour.

Les partenaires Android sont informés de tous les problèmes au moins un mois à l'avance. publication. Les correctifs du code source pour ces problèmes ont été publiés dans l'Android Open dépôt du projet source (AOSP), accessible à partir de ce bulletin. Ce bulletin inclut également des liens vers des correctifs en dehors d’AOSP.

L'évaluation de la gravité est basée sur l'effet l’exploitation de la vulnérabilité aurait peut-être sur un appareil affecté, en supposant que les mesures d'atténuation des risques liés à la plate-forme et aux services sont désactivées pour le développement ou en cas de contournement réussi.

Reportez-vous à la documentation Android et Google Play Protect des stratégies d'atténuation pour en savoir plus Plate-forme de sécurité Android de protection et Google Play Protect, qui renforcent la sécurité plate-forme Android.

Service Android et Google mesures d'atténuation

Il s'agit d'un récapitulatif des mesures d'atténuation proposées par le Plate-forme de sécurité Android et des protections de service, Google Play Nest Protect. Ces fonctionnalités réduisent la probabilité que la sécurité les vulnérabilités pourraient être exploitées avec succès sur Android.

  • L'exploitation de nombreux problèmes sur Android est rendue plus difficile améliorations apportées dans les versions plus récentes de la plate-forme Android. Nous encourageons tous utilisateurs afin de passer à la dernière version d'Android lorsque cela est possible.
  • L'équipe de sécurité Android surveille activement les utilisations abusives grâce à Google Play Nest Protect et avertit les utilisateurs Potentiellement Applications nuisibles. Google Play Protect est activé par défaut sur appareils avec Google Mobile de Google et est particulièrement important pour les utilisateurs qui installent des applications depuis en dehors de Google Play.

01/10/2023 détails de la faille au niveau du correctif de sécurité

Vous trouverez dans les sections ci-dessous des informations détaillées sur chacun des les failles qui s'appliquent au niveau du correctif du 01/10/2023. Les vulnérabilités sont regroupées sous le composant qu'elles affectent. Les problèmes sont décrits dans les tableaux ci-dessous et incluent l'ID de la CVE, références, type de faille, severity, et versions mises à jour d'AOSP (le cas échéant). Le cas échéant, nous associons la modification publique visant à résoudre le problème au ID de bug, comme la liste de modifications AOSP. Lorsque plusieurs modifications portent sur un même bug, les références supplémentaires sont sont associés à des chiffres qui suivent l'ID de bug. Les appareils équipés d'Android 10 ou version ultérieure peuvent recevoir des mises à jour de sécurité, ainsi que : Google Play : mises à jour du système

Framework

La vulnérabilité la plus grave dans cette section pourrait escalade de sans droits d'exécution supplémentaires requis.

CVE Références Type Gravité Versions d'AOSP mises à jour
CVE-2023-40116 A-270368476 [2]. EoP Élevée 11, 12, 12L
CVE-2023-40120 A-274775190 EoP Élevée 11, 12, 12L, 13
CVE-2023-40131 A-282919145 EoP Élevée 12, 12L, 13
CVE-2023-40140 A-274058082 EoP Élevée 11, 12, 12L, 13
CVE-2023-21291 A-277593270 ID Élevée 11, 12, 12L, 13
CVE-2023-40121 A-224771621 ID Élevée 11, 12, 12L, 13
CVE-2023-40134 A-283101289 ID Élevée 12, 12L, 13
CVE-2023-40136 A-281666022 ID Élevée 11, 12, 12L, 13
CVE-2023-40137 A-281665050 ID Élevée 11, 12, 12L, 13
CVE-2023-40138 A-281534749 ID Élevée 11, 12, 12L, 13
CVE-2023-40139 A-281533566 ID Élevée 11, 12, 12L, 13

Système

La faille la plus grave dans cette section pourrait Exécution de code (proximal/adjoint) sans privilèges d'exécution supplémentaires nécessaires.

CVE Références Type Gravité Versions d'AOSP mises à jour
CVE-2023-40129 A-273874525 RCE Critique 12, 12L, 13
CVE-2023-21244 A-276729064 [2]. [3]. EoP Élevée 11, 12, 12L, 13
CVE-2023-40117 A-253043065 [2]. EoP Élevée 11, 12, 12L, 13
CVE-2023-40125 A-279902472 EoP Élevée 11, 12, 12L, 13
CVE-2023-40128 A-274231102 EoP Élevée 11, 12, 12L, 13
CVE-2023-40130 A-289809991 EoP Élevée 11, 12, 12L, 13
CVE-2023-40123 A-278246904 ID Élevée 11, 12, 12L, 13
CVE-2023-40127 A-262244882 ID Élevée 11, 12, 12L, 13
CVE-2023-40133 A-283264674 ID Élevée 11, 12, 12L, 13
CVE-2023-40135 A-281848557 ID Élevée 11, 12, 12L, 13
CVE-2023-21252 A-275339978 [2]. DoS Élevée 11, 12, 12L, 13
CVE-2023-21253 A-266580022 [2]. [3]. DoS Élevée 11, 12, 12L, 13

Mises à jour du système Google Play

Les problèmes suivants sont inclus dans les composants du projet Mainline.

Sous-composant CVE
Fournisseur multimédia CVE-2023-40127
Wi-Fi CVE-2023-21252

05/10/2023 détails de la faille au niveau du correctif de sécurité

Vous trouverez dans les sections ci-dessous des informations détaillées sur chacun des les failles qui s'appliquent au niveau du correctif du 05/10/2023. Les vulnérabilités sont regroupées sous le composant qu'elles affectent. Les problèmes sont décrits dans les tableaux ci-dessous et incluent l'ID de la CVE, références, type de faille, severity, et versions mises à jour d'AOSP (le cas échéant). Le cas échéant, nous associons la modification publique visant à résoudre le problème au ID de bug, comme la liste de modifications AOSP. Lorsque plusieurs modifications portent sur un même bug, les références supplémentaires sont sont associés à des chiffres qui suivent l'ID de bug.

Composants du bras

Ces failles affectent les composants Arm et des informations supplémentaires sont disponibles directement à partir d'ARM. Une évaluation de la gravité de ces problèmes est fournie directement par Arm.

CVE Références Gravité Sous-composant
CVE-2021-44828 A-296461583 * Élevée Mali
CVE-2022-28348 A-296463357 * Élevée Mali
CVE-2023-4211 A-294605494 * Élevée Mali
CVE-2023-33200 A-287627703 * Élevée Mali
CVE-2023-34970 A-287624919 * Élevée Mali

Composants MediaTek

Ces failles affectent les composants MediaTek. Pour en savoir plus, consultez disponibles directement auprès de MediaTek. L'évaluation de la gravité de ces problèmes est fournie directement par MediaTek.

CVE Références Gravité Sous-composant
CVE-2023-20819 A-294779648
M-MOLY01068234 *.
Élevée Protocole PPP CDMA
CVE-2023-32819 A-294779649
M-ALPS07993705 *.
Élevée écran
CVE-2023-32820 A-294781433
M-ALPS07932637 *.
Élevée micrologiciel Wlan

Composants unisoc

Cette faille affecte les composants Unisoc. Pour en savoir plus, consultez disponible directement depuis Unisoc. L'évaluation de la gravité de ce problème est directement fournie par l'unisoc.

CVE Références Gravité Sous-composant
CVE-2023-40638 A-296491611
U-2212107*
Élevée Android

Composants Qualcomm

Ces failles affectent les composants Qualcomm et sont décrites plus en détail dans le bulletin de sécurité Qualcomm ou l'alerte de sécurité appropriés. L'évaluation de la gravité de ces problèmes est assurée directement par Qualcomm.

CVE Références Gravité Sous-composant
CVE-2023-33029 A-290061916
QC-CR#3446314
Élevée Noyau
CVE-2023-33034 A-290060972
QC-CR#3438425
Élevée Audio
CVE-2023-33035 A-290061247
QC-CR#3438021
Élevée Audio

Composants à source fermée Qualcomm

Ces failles affectent les composants à source fermée décrits plus en détail dans le bulletin de sécurité Qualcomm approprié ou alerte de sécurité. L'évaluation de la gravité de ces problèmes est assurée directement par Qualcomm.

CVE Références Gravité Sous-composant
CVE-2023-24855 A-276750662 * Critique Composant à source fermée
CVE-2023-28540 A-276751073 * Critique Composant à source fermée
CVE-2023-33028 A-290060590 * Critique Composant à source fermée
CVE-2023-21673 A-276750698 * Élevée Composant à source fermée
CVE-2023-22385 A-276750699 * Élevée Composant à source fermée
CVE-2023-24843 A-276750762 * Élevée Composant à source fermée
CVE-2023-24844 A-276750872 * Élevée Composant à source fermée
CVE-2023-24847 A-276751090 * Élevée Composant à source fermée
CVE-2023-24848 A-276750995* Élevée Composant à source fermée
CVE-2023-24849 A-276751370* Élevée Composant à source fermée
CVE-2023-24850 A-276751108 * Élevée Composant à source fermée
CVE-2023-24853 A-276751372 * Élevée Composant à source fermée
CVE-2023-33026 A-290061996 * Élevée Composant à source fermée
CVE-2023-33027 A-290061249 * Élevée Composant à source fermée

06/10/2023 détails de la faille au niveau du correctif de sécurité

Vous trouverez dans les sections ci-dessous des informations détaillées sur chacun des les failles qui s'appliquent au niveau du correctif du 06/10/2023. Les vulnérabilités sont regroupées sous le composant qu'elles affectent. Les problèmes sont décrits dans les tableaux ci-dessous et incluent l'ID de la CVE, références, type de faille, severity, et versions mises à jour d'AOSP (le cas échéant). Le cas échéant, nous associons la modification publique visant à résoudre le problème au ID de bug, comme la liste de modifications AOSP. Lorsque plusieurs modifications portent sur un même bug, les références supplémentaires sont sont associés à des chiffres qui suivent l'ID de bug.

Système

La faille mentionnée dans cette section pourrait entraîner une exploitation sans interaction de l’utilisateur.

CVE Références Type Gravité Versions d'AOSP mises à jour
CVE-2023-4863 A-299477569 RCE Critique 11, 12, 12L, 13

Questions fréquentes et réponses

Cette section répond aux questions fréquentes que l'on peut se poser après la lecture de ce .

1. Comment savoir si mon appareil a été mis à jour pour répondre à ces problèmes ? ces problèmes ?

Pour savoir comment vérifier le niveau du correctif de sécurité d'un appareil, consultez Vérifiez la version d'Android installée et mettez-la à jour.

  • Niveau du correctif de sécurité à partir du 01/10/2023 à partir de l'adresse tous les problèmes associés au correctif de sécurité du 01/10/2023 à l'échelle du projet.
  • Niveau du correctif de sécurité à partir du 05/10/2023 à partir de l'adresse tous les problèmes associés au correctif de sécurité du 05/10/2023 et tous les niveaux de correctif précédents.
  • Niveau du correctif de sécurité à partir du 06/10/2023 à partir de l'adresse tous les problèmes associés au correctif de sécurité du 06/10/2023 et tous les niveaux de correctif précédents.

Les fabricants d'appareils qui intègrent ces mises à jour doivent définir la chaîne patch au niveau suivant:

  • [ro.build.version.security_patch]:[01/10/2023]
  • [ro.build.version.security_patch]:[05/10/2023]
  • [ro.build.version.security_patch]:[06/10/2023]

Pour certains appareils équipés d'Android 10 ou version ultérieure, la mise à jour du système Google Play aura une chaîne de date qui correspond au du correctif de sécurité. Veuillez consulter cet article pour découvrir comment installer mises à jour de sécurité.

2. Pourquoi ce bulletin comporte-t-il trois niveaux de correctif de sécurité ?

Ce bulletin comporte trois niveaux de correctif de sécurité. la possibilité de corriger un sous-ensemble de failles similaires les appareils Android plus rapidement. Nous encourageons les partenaires Android à corriger dans ce bulletin et utilisez le dernier niveau du correctif de sécurité.

  • Appareils utilisant le correctif de sécurité du 01/10/2023 doit inclure tous les problèmes associés à ce niveau de correctif de sécurité, ainsi que en tant que des correctifs pour tous les problèmes signalés dans les bulletins de sécurité précédents.
  • Appareils utilisant le correctif de sécurité du 05/10/2023 ou une version plus récente doivent inclure tous les correctifs applicables à cette sécurité (et aux précédentes) et les bulletins.
  • Appareils utilisant le correctif de sécurité du 06/10/2023 ou une version plus récente doivent inclure tous les correctifs applicables à cette sécurité (et aux précédentes) et les bulletins.

Les partenaires sont encouragés à regrouper les correctifs pour tous les problèmes qu'ils rencontrent. en une seule mise à jour.

3. Que signifient les entrées de la colonne Type ?

Entrées de la colonne Type de la table "Informations sur les failles" faire référence à la classification de la faille de sécurité.

Abréviation Définition
RCE Exécution de code à distance
EoP Élévation de privilèges
ID Divulgation d'informations
DoS Déni de service
N/A Classification non disponible

4. Que signifient les entrées de la colonne Références ?

Entrées de la colonne Références dans les détails des failles peut contenir un préfixe identifiant l'organisation à laquelle référence valeur.

Préfixe Référence
A- ID de bug Android
QC – Numéro de référence Qualcomm
L- Numéro de référence MediaTek
N- Numéro de référence NVIDIA
B- Numéro de référence Broadcom
U- Numéro de référence UNISOC

5. Que signifie un * à côté de l'ID de bug Android dans les références ? moyenne de cette colonne ?

Les numéros non disponibles publiquement sont signalés par un astérisque (*) à côté du nom ID de référence. La mise à jour de ce problème est généralement contenue dans le dernier pilotes binaires pour les appareils Pixel disponibles sur Google site pour les développeurs.

6. Pourquoi les failles de sécurité sont-elles réparties entre ce bulletin et les bulletins de sécurité des appareils ou des partenaires, tels que Bulletin Pixel ?

Les failles de sécurité documentées dans ce bulletin de sécurité sont Vous devez déclarer le dernier niveau du correctif de sécurité sur Android appareils. D'autres failles de sécurité documentées dans le les bulletins de sécurité de l'appareil / du partenaire ne sont pas nécessaires pour déclarer un niveau de correctif de sécurité. Fabricants d'appareils et de chipsets Android peuvent également publier des informations sur les failles de sécurité propres à leurs produits, tels que Google Huawei, LGE Motorola Nokia, ou Samsung.

Versions

Version Date Notes
1.0 2 octobre 2023 Publication du bulletin