חדשות האבטחה של Android מכילות פרטים על פרצות אבטחה משפיעה על מכשירי Android. רמות של תיקון האבטחה החל מ-6 באוקטובר 2023 ואילך, צריך לטפל בכל הבעיות האלה. למידע על אופן הבדיקה של רמת תיקון האבטחה במכשיר, אפשר לבקר בכתובת איך יודעים איזו גרסת Android יש במכשיר ומעדכנים אותה
שותפי Android מקבלים הודעה על כל הבעיות לפחות חודש לפני לאתר החדשות. תיקונים של קוד המקור לבעיות האלה פורסמו ב-Android Open מאגר של פרויקט המקור (AOSP) והוא מקושר מהעדכון הזה. מבזק זה כוללת גם קישורים לתיקונים מחוץ ל-AOSP.
הערכת החומרה מבוססת על ההשפעה וניצול נקודות החולשה במכשיר שנפגע, בהנחה שהפלטפורמה והמיטיגציות בשירות מושבתות לצורכי פיתוח למטרות עסקיות או אם ניתן לעקוף אותה בהצלחה.
מידע נוסף זמין במאמר בנושא Android ו-Google Play Protect בקטע של מיטיגציות, פלטפורמת האבטחה של Android ואת Google Play Protect, שמשפרים את האבטחה של פלטפורמת Android.
שירות Android ו-Google מיטיגציות
זהו סיכום של ההקלות שמסופקות על-ידי פלטפורמת האבטחה של Android הגנות על שירותים כמו Google Play Protect. היכולות האלה מפחיתות את הסבירות ניתן לנצל בהצלחה נקודות חולשה ב-Android.
- קשה יותר לנצל בעיות רבות ב-Android על ידי שיפורים בגרסאות חדשות יותר של פלטפורמת Android. אנחנו מעודדים את כל משתמשים כדי לעדכן לגרסה העדכנית ביותר של Android כשהדבר אפשרי.
- צוות האבטחה של Android עוקב באופן פעיל אחרי ניצול לרעה באמצעות ב-Google Play Protect ומזהי משתמשים מפני כנראה אפליקציות מזיקות. שירות Google Play Protect מופעל כברירת מחדל מכשירים עם Google מכשיר נייד שירותים, והוא חשוב במיוחד למשתמשים שמתקינים אפליקציות מחוץ ל-Google Play.
1 באוקטובר 2023 פרטי נקודת חולשה ברמת תיקון האבטחה
בסעיפים הבאים אנחנו מציגים פרטים על כל אחת משיטות האבטחה נקודות חולשה שחלות על רמת התיקון בתאריך 10.10.2023. נקודות החולשה מקובצות בהתאם לרכיב שהן משפיעות עליהן. הבעיות מתוארות בטבלאות שבהמשך וכוללות מזהה CVE, התייחסות, סוג נקודת חולשה, חומרה, וגרסאות AOSP מעודכנות (אם רלוונטי). כשמצוין, אנחנו מקשרים את השינוי הגלוי לכולם שהוביל לבעיה אל מזהה באג, כמו רשימת השינויים ב-AOSP. כאשר שינויים מרובים קשורים לבאג אחד, הפניות נוספות מקושר למספרים שמופיעים אחרי מזהה הבאג. מכשירים עם Android מגרסה 10 ואילך עשויים לקבל עדכוני אבטחה וגם Google עדכוני מערכת של Play.
מסגרת
נקודת החולשה החמורה ביותר בקטע הזה עלולה להוביל הסלמה של ללא הרשאות ביצוע נוספות.
| CVE | קובצי עזר | סוג | מידת החומרה | גרסאות AOSP מעודכנות |
|---|---|---|---|---|
| CVE-2023-40116 | A-270368476 [2] | ליש"ט | רחב | 11, 12, 12L |
| CVE-2023-40120 | A-274775190 | ליש"ט | רחב | 11, 12, 12L, 13 |
| CVE-2023-40131 | A-282919145 | ליש"ט | רחב | 12, 12L, 13 |
| CVE-2023-40140 | A-274058082 | ליש"ט | רחב | 11, 12, 12L, 13 |
| CVE-2023-21291 | A-277593270 | מזהה | רחב | 11, 12, 12L, 13 |
| CVE-2023-40121 | A-224771621 | מזהה | רחב | 11, 12, 12L, 13 |
| CVE-2023-40134 | A-283101289 | מזהה | רחב | 12, 12L, 13 |
| CVE-2023-40136 | A-281666022 | מזהה | רחב | 11, 12, 12L, 13 |
| CVE-2023-40137 | A-281665050 | מזהה | רחב | 11, 12, 12L, 13 |
| CVE-2023-40138 | A-281534749 | מזהה | רחב | 11, 12, 12L, 13 |
| CVE-2023-40139 | A-281533566 | מזהה | רחב | 11, 12, 12L, 13 |
מערכת
נקודת החולשה החמורה ביותר בקטע הזה עלולה להוביל ביצוע קוד (קרוב/קרוב) ללא הרשאות ביצוע נוספות הדרושים.
| CVE | קובצי עזר | סוג | מידת החומרה | גרסאות AOSP מעודכנות |
|---|---|---|---|---|
| CVE-2023-40129 | A-273874525 | RCE | קריטי | 12, 12L, 13 |
| CVE-2023-21244 | A-276729064 [2] [3] | ליש"ט | רחב | 11, 12, 12L, 13 |
| CVE-2023-40117 | A-253043065 [2] | ליש"ט | רחב | 11, 12, 12L, 13 |
| CVE-2023-40125 | A-279902472 | ליש"ט | רחב | 11, 12, 12L, 13 |
| CVE-2023-40128 | A-274231102 | ליש"ט | רחב | 11, 12, 12L, 13 |
| CVE-2023-40130 | A-289809991 | ליש"ט | רחב | 11, 12, 12L, 13 |
| CVE-2023-40123 | A-278246904 | מזהה | רחב | 11, 12, 12L, 13 |
| CVE-2023-40127 | A-262244882 | מזהה | רחב | 11, 12, 12L, 13 |
| CVE-2023-40133 | A-283264674 | מזהה | רחב | 11, 12, 12L, 13 |
| CVE-2023-40135 | A-281848557 | מזהה | רחב | 11, 12, 12L, 13 |
| CVE-2023-21252 | A-275339978 [2] | מניעת שירות (DoS) | רחב | 11, 12, 12L, 13 |
| CVE-2023-21253 | A-266580022 [2] [3] | מניעת שירות (DoS) | רחב | 11, 12, 12L, 13 |
עדכוני מערכת של Google Play
הבעיות הבאות כלולות ברכיבי Project Mainline.
| רכיב משנה | CVE |
|---|---|
| MediaProvider | CVE-2023-40127 |
| Wi-Fi | CVE-2023-21252 |
5 באוקטובר 2023 פרטי נקודת חולשה ברמת תיקון האבטחה
בסעיפים הבאים אנחנו מציגים פרטים על כל אחת משיטות האבטחה נקודות חולשה שחלות על רמת התיקון בתאריך 5.10.2023. נקודות החולשה מקובצות בהתאם לרכיב שהן משפיעות עליהן. הבעיות מתוארות בטבלאות שבהמשך וכוללות מזהה CVE, התייחסות, סוג נקודת חולשה, חומרה, וגרסאות AOSP מעודכנות (אם רלוונטי). כשמצוין, אנחנו מקשרים את השינוי הגלוי לכולם שהוביל לבעיה אל מזהה באג, כמו רשימת השינויים ב-AOSP. כאשר שינויים מרובים קשורים לבאג אחד, הפניות נוספות מקושר למספרים שמופיעים אחרי מזהה הבאג.
רכיבי זרוע
נקודות החולשה האלה משפיעות על רכיבי הזרוע ויש פרטים נוספים ישירות מ- Arm. אנחנו מעריכים את רמת החומרה של הבעיות האלה ישירות על ידי Arm.
| CVE | קובצי עזר | מידת החומרה | רכיב משנה |
|---|---|---|---|
| CVE-2021-44828 | A-296461583 * | רחב | מאלי |
| CVE-2022-28348 | A-296463357 * | רחב | מאלי |
| CVE-2023-4211 | A-294605494 * | רחב | מאלי |
| CVE-2023-33200 | A-287627703 * | רחב | מאלי |
| CVE-2023-34970 | A-287624919 * | רחב | מאלי |
רכיבי MediaTek
נקודות החולשה האלה משפיעות על רכיבי MediaTek, ופרטים נוספים ישירות מ-MediaTek. הערכת החומרה של הבעיות האלה מסופקת ישירות על ידי MediaTek.
| CVE | קובצי עזר | מידת החומרה | רכיב משנה |
|---|---|---|---|
| CVE-2023-20819 | A-294779648
M-MOLY01068234 * |
רחב | פרוטוקול CDMA PPP |
| CVE-2023-32819 | A-294779649
M-ALPS07993705 * |
רחב | מסך |
| CVE-2023-32820 | A-294781433
M-ALPS07932637 * |
רחב | קושחת Wan |
רכיבי Unisoc
נקודת החולשה הזו משפיעה על רכיבי Unisoc ופרטים נוספים זמינים ישירות מ-Unisoc. הערכת החומרה של הבעיה הזו ניתנת ישירות על ידי Unisoc.
| CVE | קובצי עזר | מידת החומרה | רכיב משנה |
|---|---|---|---|
| CVE-2023-40638 | A-296491611
U-2212107* |
רחב | Android |
רכיבי Qualcomm
נקודות החולשה האלה משפיעות על רכיבי Qualcomm ומתוארות בפירוט את הפרטים האלה בעדכון האבטחה המתאים של Qualcomm או בהתראת האבטחה. הערכת החומרה של הבעיות האלה מסופקת ישירות על ידי Qualcomm.
| CVE | קובצי עזר | מידת החומרה | רכיב משנה |
|---|---|---|---|
| CVE-2023-33029 | A-290061916
QC-CR#3446314 |
רחב | ליבה |
| CVE-2023-33034 | A-290060972
QC-CR#3438425 |
רחב | אודיו |
| CVE-2023-33035 | A-290061247
QC-CR#3438021 |
רחב | אודיו |
רכיבי מקור סגור של Qualcomm
נקודות החולשה האלה משפיעות על רכיבי הקוד הסגור של Qualcomm שמתוארים בפירוט בעדכון האבטחה המתאים של Qualcomm, התראת אבטחה. הערכת החומרה של הבעיות האלה מסופקת ישירות על ידי Qualcomm.
| CVE | קובצי עזר | מידת החומרה | רכיב משנה |
|---|---|---|---|
| CVE-2023-24855 | A-276750662 * | קריטי | רכיב ממקור סגור |
| CVE-2023-28540 | A-276751073 * | קריטי | רכיב ממקור סגור |
| CVE-2023-33028 | A-290060590 * | קריטי | רכיב ממקור סגור |
| CVE-2023-21673 | A-276750698 * | רחב | רכיב ממקור סגור |
| CVE-2023-22385 | A-276750699 * | רחב | רכיב ממקור סגור |
| CVE-2023-24843 | A-276750762 * | רחב | רכיב ממקור סגור |
| CVE-2023-24844 | A-276750872 * | רחב | רכיב ממקור סגור |
| CVE-2023-24847 | A-276751090 * | רחב | רכיב ממקור סגור |
| CVE-2023-24848 | A-276750995* | רחב | רכיב ממקור סגור |
| CVE-2023-24849 | A-276751370* | רחב | רכיב ממקור סגור |
| CVE-2023-24850 | A-276751108 * | רחב | רכיב ממקור סגור |
| CVE-2023-24853 | A-276751372 * | רחב | רכיב ממקור סגור |
| CVE-2023-33026 | A-290061996 * | רחב | רכיב ממקור סגור |
| CVE-2023-33027 | A-290061249 * | רחב | רכיב ממקור סגור |
6 באוקטובר 2023 פרטי נקודת חולשה ברמת תיקון האבטחה
בסעיפים הבאים אנחנו מציגים פרטים על כל אחת משיטות האבטחה נקודות חולשה שחלות על רמת התיקון בתאריך 6.10.2023. נקודות החולשה מקובצות בהתאם לרכיב שהן משפיעות עליהן. הבעיות מתוארות בטבלאות שבהמשך וכוללות מזהה CVE, התייחסות, סוג נקודת חולשה, חומרה, וגרסאות AOSP מעודכנות (אם רלוונטי). כשמצוין, אנחנו מקשרים את השינוי הגלוי לכולם שהוביל לבעיה אל מזהה באג, כמו רשימת השינויים ב-AOSP. כאשר שינויים מרובים קשורים לבאג אחד, הפניות נוספות מקושר למספרים שמופיעים אחרי מזהה הבאג.
מערכת
נקודת החולשה בקטע הזה עלולה להוביל לניצול ללא אינטראקציה של המשתמש.
| CVE | קובצי עזר | סוג | מידת החומרה | גרסאות AOSP מעודכנות |
|---|---|---|---|---|
| CVE-2023-4863 | A-299477569 | RCE | קריטי | 11, 12, 12L, 13 |
שאלות נפוצות ותשובות
בקטע הזה מפורטות תשובות לשאלות נפוצות שעשויות להופיע לאחר קריאת המאמר מבזק
1. איך אפשר לבדוק אם המכשיר שלי מעודכן לטיפול בבעיות האלה בעיות?
למידע על אופן הבדיקה של רמת תיקון האבטחה במכשיר, אפשר לבקר בכתובת איך יודעים איזו גרסת Android יש במכשיר ומעדכנים אותה
- רמות תיקון אבטחה של כתובת משנת 2023-10.01 ואילך את כל הבעיות שקשורות לתיקון האבטחה שנערך באוקטובר 2023 ברמה.
- רמות של תיקון אבטחה בכתובת 2023-10-05 ואילך את כל הבעיות שקשורות לתיקון האבטחה לשנת 2023 באוקטובר וכל רמות התיקון הקודמות.
- רמות של תיקון אבטחה בכתובת 6.10.2023 ואילך את כל הבעיות שקשורות לתיקון האבטחה שנערך באוקטובר 2023 וכל רמות התיקון הקודמות.
יצרני מכשירים שכוללים את העדכונים האלה צריכים להגדיר את מחרוזת התיקון רמה ל:
- [ro.build.version.security_patch]:[2023-10-01]
- [ro.build.version.security_patch]:[2023-10-05]
- [ro.build.version.security_patch]:[2023-10-06]
במכשירים מסוימים עם Android מגרסה 10 ואילך, עדכון המערכת של Google Play יהיו מחרוזת תאריך שתואמת ל-10.10.2023 רמת תיקון האבטחה. במאמר הזה מפורט מידע נוסף על להתקין עדכוני אבטחה.
2. למה יש שלוש רמות של תיקון אבטחה למבזק הזה?
העלון הזה כולל שלוש רמות של תיקוני אבטחה, כך ששותפי Android את הגמישות לתקן קבוצת משנה של נקודות חולשה שדומות בכל מכשירי Android במהירות רבה יותר. אנחנו ממליצים לשותפי Android לתקן את כל הבעיות בבעיות בעדכון הזה ולהשתמש ברמה האחרונה של תיקון האבטחה.
- מכשירים שנעשה בהם שימוש ברמה של תיקון האבטחה בגרסת 2023.10.2023 חייב לכלול את כל הבעיות שקשורות לרמת תיקון האבטחה הזו, וגם בתור לכל הבעיות שדווחו בעדכון האבטחה הקודם.
- מכשירים שנעשה בהם שימוש ברמת תיקון האבטחה של 5 באוקטובר 2023 או גרסאות חדשות יותר חייבות לכלול את כל התיקונים הרלוונטיים באבטחה הזו (וקודמת) מבזקים.
- מכשירים שנעשה בהם שימוש ברמת תיקון האבטחה של 6 באוקטובר 2023 או גרסאות חדשות יותר חייבות לכלול את כל התיקונים הרלוונטיים באבטחה הזו (וקודמת) מבזקים.
אנחנו ממליצים לשותפים לאגד יחד את התיקונים לכל הבעיות שהם מציגים התייחסות בעדכון יחיד.
3. מה המשמעות של הערכים שבעמודה סוג?
ערכים בעמודה סוג בטבלת פרטי נקודות החולשה את הסיווג של פרצת האבטחה.
| קיצור | הגדרה |
|---|---|
| RCE | ביצוע קוד מרחוק |
| ליש"ט | הרשאות ברמה גבוהה יותר |
| מזהה | חשיפת מידע |
| מניעת שירות (DoS) | התקפת מניעת שירות (DoS) |
| לא רלוונטי | הסיווג לא זמין |
4. מה המשמעות של הרשומות בעמודה References (קובצי עזר)?
רשומות מתחת לעמודה References (קובצי עזר) של פרטי פרצת האבטחה עשויה להכיל קידומת שמתארת את הארגון שאליו הפניה שייך לערך מסוים.
| תחילית | חומרי עזר |
|---|---|
| A- | מזהה באג ב-Android |
| QC- | מספר אסמכתה של Qualcomm |
| M- | מספר סימוכין של MediaTek |
| N- | מספר סימוכין של NVIDIA |
| B- | מספר סימוכין של Broadcom |
| U- | מספר סימוכין של UNISOC |
5. מה עושה * לצד מזהה הבאג ב-Android בקובצי העזר ממוצע עמודה?
ליד בעיות שלא זמינות לכולם יש סימן * מזהה ההפניה. העדכון עבור הבעיה הזו מופיע בדרך כלל בגרסת מנהלי התקנים בינאריים למכשירי Pixel שזמינים Google אתר למפתחים.
6. מדוע נקודות החולשה באבטחה מחולקות בין המבזק הזה לבין עדכוני אבטחה של המכשיר / שותפים, כמו עדכון Pixel?
פרצות האבטחה המתועדות בעדכון האבטחה הזה הן נדרשת להצהיר על הרמה האחרונה של תיקון האבטחה ב-Android מכשירים. פרצות אבטחה נוספות המתועדות אין צורך לעדכן את עדכוני האבטחה של המכשיר או השותפים עבור הצהרה על רמת תיקון אבטחה. יצרנים של מכשירי Android וערכות שבבים עשויים גם לפרסם פרטים על פרצות אבטחה ספציפיות למוצרים שלהם, כמו Google, Huawei, LGE, מוטורולה, Nokia, או Samsung.
גרסאות
| גרסה | תאריך | הערות |
|---|---|---|
| 1.0 | 2 באוקטובר 2023 | המבזק פורסם |