Biuletyn bezpieczeństwa Androida zawiera szczegółowe informacje o lukach w zabezpieczeniach na urządzeniach z Androidem. Poziomy poprawek zabezpieczeń 6 października 2023 r. lub późniejszego okresu. Aby dowiedzieć się, jak sprawdzić stan aktualizacji zabezpieczeń urządzenia, zobacz Aktualizowanie Androida i sprawdzanie jego wersji
Partnerzy Androida są powiadamiani o wszystkich problemach co najmniej miesiąc wcześniej publikacji. Poprawki kodu źródłowego tych problemów zostały opublikowane w Android Open Repozytorium projektu źródłowego (AOSP), do którego link znajduje się w tym biuletynie. Ten biuletyn zawiera też linki do poprawek spoza AOSP.
Ocena ważności opiera się na skutkach, jak można wykorzystać lukę na urządzeniu, przy założeniu, że środki łagodzące dla platformy i usługi są wyłączone na potrzeby programowania lub zostanie ominięty.
Więcej informacji znajdziesz w artykule na temat Androida i Google Play Protect. środki zaradcze, aby dowiedzieć się więcej o błędach Platforma zabezpieczeń Androida i Google Play Protect, które zwiększają bezpieczeństwo Platforma Androida.
Android i usługa Google środki zaradcze
To jest podsumowanie środków zaradczych udostępnionych przez Platforma zabezpieczeń Androida oraz zabezpieczeń usług, takich jak Google Play Ochrona. Te funkcje zmniejszają prawdopodobieństwo, które mogły zostać wykorzystane w Androidzie.
- Wykorzystywanie wielu problemów na Androidzie utrudnia, w nowszych wersjach platformy Androida. Zachęcamy wszystkich użytkowników jak tylko będzie to możliwe, zaktualizuj Androida do najnowszej wersji.
- Zespół ds. bezpieczeństwa Androida aktywnie monitoruje nadużycia, wykorzystując Google Play. Ochrona i ostrzeżenia użytkowników Potencjalnie Szkodliwe aplikacje. Usługa Google Play Protect jest domyślnie włączona urządzenia dzięki Google Urządzenia mobilne usług. Jest to szczególnie ważne w przypadku użytkowników, którzy instalują aplikacje z poza Google Play.
1.10.2023 r. szczegóły luk w zabezpieczeniach na poziomie poprawek zabezpieczeń
W sekcjach poniżej podajemy szczegółowe informacje na temat każdego rodzaju zabezpieczeń luki w zabezpieczeniach, które mają zastosowanie do stanu aktualizacji z 10.10.2023 r. Luki w zabezpieczeniach są pogrupowane według komponentu, na który mają wpływ. Problemy zostały opisane w tabelach poniżej i zawierają identyfikator CVE oraz powiązane pliki referencyjne, typ luki w zabezpieczeniach, waga, i zaktualizowanych wersji AOSP (w stosownych przypadkach). Jeśli informacja o zmianie publicznej jest dostępna, dodajemy link identyfikator błędu, np. listę zmian AOSP. Jeśli wiele zmian dotyczy jednego błędu, dodatkowe odniesienia są powiązane z numerami po identyfikatorze błędu. Urządzenia z Androidem 10 i nowszym mogą otrzymywać aktualizacje zabezpieczeń, a także Google Aktualizacje systemowe Google Play.
Platforma
Najpoważniejsza luka w zabezpieczeniach w tej sekcji może powodować lokalne zagrożenia przekazanie bez dodatkowych uprawnień do wykonywania.
| standard CVE | Pliki referencyjne | Typ | Poziom | Zaktualizowane wersje AOSP |
|---|---|---|---|---|
| CVE-2023-40116 | A-270368476 [2] | eksploatacja | Wysoki | 11, 12, 12 l |
| CVE-2023-40120 | A-274775190 | eksploatacja | Wysoki | 11, 12, 12 l, 13 |
| CVE-2023-40131 | A-282919145 | eksploatacja | Wysoki | 12, 12 l, 13 |
| CVE-2023-40140 | A-274058082 | eksploatacja | Wysoki | 11, 12, 12 l, 13 |
| CVE-2023-21291 | A-277593270 | ID | Wysoki | 11, 12, 12 l, 13 |
| CVE-2023-40121 | A-224771621 | ID | Wysoki | 11, 12, 12 l, 13 |
| CVE-2023-40134 | A-283101289 | ID | Wysoki | 12, 12 l, 13 |
| CVE-2023-40136 | A-281666022, | ID | Wysoki | 11, 12, 12 l, 13 |
| CVE-2023-40137 | A-281665050 | ID | Wysoki | 11, 12, 12 l, 13 |
| CVE-2023-40138 | A-281534749 | ID | Wysoki | 11, 12, 12 l, 13 |
| CVE-2023-40139 | A-281533566 | ID | Wysoki | 11, 12, 12 l, 13 |
System
Najpoważniejsza luka w zabezpieczeniach w tej sekcji może umożliwiać zdalne (zbliżone/przyległe) wykonywanie kodu bez dodatkowych uprawnień do wykonywania niezbędną.
| standard CVE | Pliki referencyjne | Typ | Poziom | Zaktualizowane wersje AOSP |
|---|---|---|---|---|
| CVE-2023-40129 | A-273874525 | RCE | Krytyczny | 12, 12 l, 13 |
| CVE-2023–21244 | A-276729064 [2] [3] | eksploatacja | Wysoki | 11, 12, 12 l, 13 |
| CVE-2023-40117 | A-253043065 [2] | eksploatacja | Wysoki | 11, 12, 12 l, 13 |
| CVE-2023-40125 | A-279902472 | eksploatacja | Wysoki | 11, 12, 12 l, 13 |
| CVE-2023-40128 | A-274231102 | eksploatacja | Wysoki | 11, 12, 12 l, 13 |
| CVE-2023-40130 | 289809991 | eksploatacja | Wysoki | 11, 12, 12 l, 13 |
| CVE-2023-40123 | A-278246904 | ID | Wysoki | 11, 12, 12 l, 13 |
| CVE-2023-40127 | A-262244882, | ID | Wysoki | 11, 12, 12 l, 13 |
| CVE-2023-40133 | A-283264674 | ID | Wysoki | 11, 12, 12 l, 13 |
| CVE-2023-40135 | A-281848557 | ID | Wysoki | 11, 12, 12 l, 13 |
| CVE-2023-21252 | A-275339978 [2] | ataki typu DoS | Wysoki | 11, 12, 12 l, 13 |
| CVE-2023-21253 | A-266580022 [2] [3] | ataki typu DoS | Wysoki | 11, 12, 12 l, 13 |
Aktualizacje systemowe Google Play
Komponenty Project Mainline zawierają wymienione poniżej problemy.
| Składnik podrzędny | standard CVE |
|---|---|
| MediaProvider, | CVE-2023-40127 |
| Wi-Fi | CVE-2023-21252 |
5.10.2023 r. szczegóły luk w zabezpieczeniach na poziomie poprawek zabezpieczeń
W sekcjach poniżej podajemy szczegółowe informacje na temat każdego rodzaju zabezpieczeń luki w zabezpieczeniach, które mają zastosowanie do aktualizacji z listopada 2023 r. Luki w zabezpieczeniach są pogrupowane według komponentu, na który mają wpływ. Problemy zostały opisane w tabelach poniżej i zawierają identyfikator CVE oraz powiązane pliki referencyjne, typ luki w zabezpieczeniach, waga, i zaktualizowanych wersji AOSP (w stosownych przypadkach). Jeśli informacja o zmianie publicznej jest dostępna, dodajemy link identyfikator błędu, np. listę zmian AOSP. Jeśli wiele zmian dotyczy jednego błędu, dodatkowe odniesienia są powiązane z numerami po identyfikatorze błędu.
Wysięgnik
Te luki w zabezpieczeniach wpływają na komponenty Arm. Więcej szczegółów jest dostępnych prosto od Arm. Podana jest ocena wagi tych problemów bezpośrednio przez Arm.
| standard CVE | Pliki referencyjne | Poziom | Składnik podrzędny |
|---|---|---|---|
| CVE-2021-44828 | A-296461583 * | Wysoki | Mali |
| CVE-2022-28348 | A-296463357 * | Wysoki | Mali |
| CVE-2023–4211 | A-294605494 * | Wysoki | Mali |
| CVE-2023-33200 | A-287627703 * | Wysoki | Mali |
| CVE-2023-34970 | A-287624919 * | Wysoki | Mali |
Komponenty MediaTek
Te luki w zabezpieczeniach wpływają na komponenty MediaTek. Szczegółowe informacje są bezpośrednio w MediaTek. Ocena wagi tych problemów jest przekazywana bezpośrednio przez MediaTek.
| standard CVE | Pliki referencyjne | Poziom | Składnik podrzędny |
|---|---|---|---|
| CVE-2023–20819 | A-294779648
M-MOLY01068234 * |
Wysoki | Protokół CDMA PPP |
| CVE-2023-32819 | A-294779649
M-ALPS07993705 * |
Wysoki | Wyświetlacz |
| CVE-2023-32820 | A-294781433
M-ALPS07932637 * |
Wysoki | oprogramowanie układowe Wlan |
Komponenty Unisoc
Ta luka w zabezpieczeniach wpływa na komponenty Unisoc. Więcej szczegółów: dostępne bezpośrednio od Unisoc. Ocena wagi tego problemu jest przekazywana bezpośrednio przez Unisoc.
| standard CVE | Pliki referencyjne | Poziom | Składnik podrzędny |
|---|---|---|---|
| CVE-2023-40638 | A-296491611
U-2212107* |
Wysoki | Android |
Komponenty Qualcomm
Te luki w zabezpieczeniach mają wpływ na komponenty Qualcomm i zostały opisane poniżej w odpowiednim biuletynie o zabezpieczeniach Qualcomm lub alercie bezpieczeństwa. Ocena wagi tych problemów jest dostarczana bezpośrednio przez firmę Qualcomm.
| standard CVE | Pliki referencyjne | Poziom | Składnik podrzędny |
|---|---|---|---|
| CVE-2023-33029 | A-290061916
QC-CR#3446314 |
Wysoki | Jądro |
| CVE-2023-33034 | A-290060972
QC-CR#3438425 |
Wysoki | Audio |
| CVE-2023-33035 | A-290061247
QC-CR#3438021 |
Wysoki | Audio |
Komponenty Qualcomm typu open source
Te luki w zabezpieczeniach mają wpływ na komponenty typu open source Qualcomm i są zostały opisane szczegółowo w odpowiednim biuletynie o zabezpieczeniach Qualcomm lub alertu bezpieczeństwa. Ocena wagi tych problemów jest dostarczana bezpośrednio przez firmę Qualcomm.
| standard CVE | Pliki referencyjne | Poziom | Składnik podrzędny |
|---|---|---|---|
| CVE-2023-24855 | A-276750662 * | Krytyczny | Komponent typu open source |
| CVE-2023-28540 | A-276751073 * | Krytyczny | Komponent typu open source |
| CVE-2023-33028 | A-290060590 * | Krytyczny | Komponent typu open source |
| CVE-2023-21673 | A-276750698 * | Wysoki | Komponent typu open source |
| CVE-2023-22385 | A-276750699 * | Wysoki | Komponent typu open source |
| CVE-2023-24843 | A-276750762 * | Wysoki | Komponent typu open source |
| CVE-2023-24844 | A-276750872 * | Wysoki | Komponent typu open source |
| CVE-2023-24847 | A-276751090 * | Wysoki | Komponent typu open source |
| CVE-2023-24848 | A-276750995* | Wysoki | Komponent typu open source |
| CVE-2023-24849 | A-276751370* | Wysoki | Komponent typu open source |
| CVE-2023-24850 | A-276751108 * | Wysoki | Komponent typu open source |
| CVE-2023-24853 | A-276751372 * | Wysoki | Komponent typu open source |
| CVE-2023-33026 | A-290061996 * | Wysoki | Komponent typu open source |
| CVE-2023-33027 | A-290061249 * | Wysoki | Komponent typu open source |
6.10.2023 r. szczegóły luk w zabezpieczeniach na poziomie poprawek zabezpieczeń
W sekcjach poniżej podajemy szczegółowe informacje na temat każdego rodzaju zabezpieczeń w zabezpieczeniach, które mają zastosowanie do aktualizacji z listopada 2023 r. Luki w zabezpieczeniach są pogrupowane według komponentu, na który mają wpływ. Problemy zostały opisane w tabelach poniżej i zawierają identyfikator CVE oraz powiązane pliki referencyjne, typ luki w zabezpieczeniach, waga, i zaktualizowanych wersji AOSP (w stosownych przypadkach). Jeśli informacja o zmianie publicznej jest dostępna, dodajemy link identyfikator błędu, np. listę zmian AOSP. Jeśli wiele zmian dotyczy jednego błędu, dodatkowe odniesienia są powiązane z numerami po identyfikatorze błędu.
System
Luka w zabezpieczeniach podana w tej sekcji może zostać wykorzystana bez interakcji użytkownika.
| standard CVE | Pliki referencyjne | Typ | Poziom | Zaktualizowane wersje AOSP |
|---|---|---|---|---|
| CVE-2023–4863 | A-299477569 | RCE | Krytyczny | 11, 12, 12 l, 13 |
Częste pytania i odpowiedzi
W tej sekcji znajdziesz odpowiedzi na najczęstsze pytania, które mogą pojawić się po przeczytaniu tej sekcji biuletyn.
1. Jak sprawdzić, czy moje urządzenie zostało zaktualizowane, by rozwiązać te problemy?
Aby dowiedzieć się, jak sprawdzić stan aktualizacji zabezpieczeń urządzenia, zobacz Aktualizowanie Androida i sprawdzanie jego wersji
- Stan aktualizacji zabezpieczeń z adresu z 1.10.2023 r. lub nowszego wszystkie problemy związane z poprawką zabezpieczeń z 10.10.2023 r. na poziomie 300%.
- Stan aktualizacji zabezpieczeń z adresu z 5.10.2023 lub nowszego wszystkie problemy związane z poprawką zabezpieczeń z 5.10.2023 r. i wszystkich poprzednich poziomach poprawek.
- Poprawki zabezpieczeń z adresem z 6 października 2023 r. lub nowszym wszystkie problemy związane z poprawką zabezpieczeń z 6.10.2023 r. i wszystkich poprzednich poziomach poprawek.
Producenci urządzeń, którzy uwzględniają te aktualizacje, powinni ustawić ciąg poprawki na poziomie:
- [ro.build.version.security_patch]:[1.10.2023]
- [ro.build.version.security_patch]:[5.10.2023]
- [ro.build.version.security_patch]:[6.10.2023]
Na niektórych urządzeniach z Androidem 10 lub nowszym aktualizacja systemowa Google Play będzie miał ciąg daty z wartością odpowiadającą 1.10.2023 r. i aktualizacji zabezpieczeń. W tym artykule znajdziesz więcej informacji o tym, jak zainstalować aktualizacji zabezpieczeń.
2. Dlaczego ten biuletyn ma 3 poziomy poprawek zabezpieczeń?
Ten biuletyn ma 3 poziomy poprawek zabezpieczeń, dzięki czemu partnerzy Androida możliwość usuwania podzbioru luk w zabezpieczeniach podobnych do szybsze działanie urządzeń z Androidem, Partnerzy zajmujący się Androidem powinni naprawić wszystkie problemów opisanych w tym biuletynie i użyj najnowszego poziomu poprawek zabezpieczeń.
- Urządzenia korzystające ze stanu aktualizacji zabezpieczeń 1 listopada 2023 r. musi obejmować wszystkie problemy związane z danym poziomem poprawek zabezpieczeń, a także jako zawiera poprawki wszystkich problemów zgłoszonych w poprzednich biuletynach o zabezpieczeniach.
- Urządzenia korzystające z poprawek zabezpieczeń z 5.10.2023 r. lub nowsza musi zawierać wszystkie odpowiednie poprawki w tym (i poprzednim) zabezpieczeniach biuletyny.
- Urządzenia korzystające z poprawek zabezpieczeń z 6.10.2023 r. lub nowsza musi zawierać wszystkie odpowiednie poprawki w tym (i poprzednim) zabezpieczeniach biuletyny.
Zachęcamy partnerów, aby połączyli rozwiązania wszystkich problemów w pakiecie w ramach jednej aktualizacji.
3. Co oznaczają wpisy w kolumnie Typ?
Wpisy w kolumnie Typ w tabeli z informacjami o luce w zabezpieczeniach klasyfikację luki w zabezpieczeniach.
| Skrót | Definicja |
|---|---|
| RCE | Zdalne wykonywanie kodu |
| eksploatacja | Podniesienie uprawnień |
| ID | Ujawnianie informacji |
| ataki typu DoS | Atak typu DoS |
| Nie dotyczy | Klasyfikacja niedostępna |
4. Co oznaczają wpisy w kolumnie Pliki referencyjne?
Wpisy w kolumnie Pliki referencyjne w szczegółach luki w zabezpieczeniach tabela może zawierać prefiks identyfikujący organizację, do której odniesienie wartość.
| Prefiks | Źródła wiedzy |
|---|---|
| A- | Identyfikator błędu Androida |
| QC- | Numer referencyjny Qualcomm |
| M | Numer referencyjny MediaTek |
| Pn | Numer referencyjny NVIDIA |
| B- | Numer referencyjny Broadcom |
| U | Numer referencyjny UNISOC |
5. Co oznacza symbol * obok identyfikatora błędu Androida w dokumentacji średnia z kolumny?
Problemy, które nie są dostępne publicznie, są oznaczone symbolem * przy odpowiednich identyfikator referencyjny. Aktualizacja tego problemu zazwyczaj znajduje się w najnowszych sterowników binarnych dla urządzeń Pixel dostępnych w Google Witryna dla deweloperów.
6. Dlaczego luki w zabezpieczeniach zostały podzielone między ten biuletyn a biuletyny o zabezpieczeniach urządzeń / partnerów, takie jak Chcesz użyć newslettera Pixela?
Luki w zabezpieczeniach opisane w tym biuletynie wymagane do zadeklarowania najnowszego poziomu poprawek zabezpieczeń na Androidzie urządzenia. Dodatkowe luki w zabezpieczeniach, które są opisane w Biuletyny bezpieczeństwa urządzenia / partnera nie są wymagane w przypadku zadeklarowanie poziomu aktualizacji zabezpieczeń. Producenci urządzeń i chipsetów z Androidem mogą też publikować szczegółowe informacje o lukach w zabezpieczeniach swoich produktów, na przykład Google Huawei LGE Motorola Nokia, lub Samsung.
Wersje
| Wersja | Data | Uwagi |
|---|---|---|
| 1,0 | 2 października 2023 r. | Opublikowano newsletter |