Biuletyn o bezpieczeństwie Androida zawiera szczegółowe informacje o lukach w zabezpieczeniach, które wpływają na urządzenia z Androidem. Poziomy poprawek zabezpieczeń z 2023-12-05 lub nowsze rozwiązują wszystkie te problemy. Aby dowiedzieć się, jak sprawdzić poziom poprawek zabezpieczeń urządzenia, przeczytaj artykuł Sprawdzanie i aktualizowanie wersji Androida.
Partnerzy Androida są powiadamiani o wszystkich problemach co najmniej miesiąc przed ich opublikowaniem. Poprawki kodu źródłowego dotyczące tych problemów zostały opublikowane w repozytorium Projektu Android Open Source (AOSP) i link do nich znajduje się w tym biuletynie. To powiadomienie zawiera też linki do poprawek spoza AOSP.
Najpoważniejszym z tych problemów jest krytyczna luka w zabezpieczeniach w komponencie systemowym, która może prowadzić do zdalnego (sąsiedniego) uruchomienia kodu bez konieczności uzyskania dodatkowych uprawnień do wykonywania. Wykorzystanie nie wymaga interakcji użytkownika. Ocena wpływu jest oparta na efekcie, jaki wykorzystanie luki w zabezpieczeniach może mieć na urządzeniu docelowym, przy założeniu, że zabezpieczenia platformy i usługi są wyłączone na potrzeby programowania lub że zostały pomyślnie omijane.
Szczegółowe informacje o środkach ochrony oferowanych przez Androida i Google Play Protect, które zwiększają bezpieczeństwo platformy Android, znajdziesz w sekcji Środki ochrony oferowane przez Androida i Google Play Protect.
zapobieganie skutkom awarii Androida i usług Google;
Oto podsumowanie zabezpieczeń oferowanych przez platformę zabezpieczeń Androida oraz zabezpieczenia usług, takie jak Google Play Protect. Te funkcje zmniejszają prawdopodobieństwo, że luki w zabezpieczeniach zostaną wykorzystane na urządzeniach z Androidem.
- Wykorzystanie wielu luk w Androidzie jest utrudnione przez ulepszenia w nowszych wersjach platformy Android. Zachęcamy wszystkich użytkowników do zaktualizowania Androida do najnowszej wersji, jeśli to możliwe.
- Zespół ds. bezpieczeństwa Androida aktywnie monitoruje przypadki nadużyć za pomocą Google Play Protect i ostrzega użytkowników o potencjalnie szkodliwych aplikacjach. Google Play Protect jest domyślnie włączona na urządzeniach z Usługami mobilnymi Google. Jest szczególnie ważna dla użytkowników, którzy instalują aplikacje spoza Google Play.
2023-12-01 szczegóły luki w zabezpieczeniach na poziomie aktualizacji zabezpieczeń
W sekcjach poniżej znajdziesz szczegółowe informacje o każdej z luk w zabezpieczeniach, które dotyczą poziomu poprawek z 2023-12-01. Luki w zabezpieczeniach są pogrupowane według komponentu, którego dotyczą. Problemy są opisane w tabelach poniżej. Zawierają one identyfikator CVE, powiązane odniesienia, typ luki, powagę oraz zaktualizowane wersje AOSP (w stosownych przypadkach). W razie możliwości łączymy publiczną zmianę, która rozwiązała problem, z identyfikatorem błędu, np. z listą zmian w AOSP. Jeśli wiele zmian dotyczy jednego błędu, dodatkowe odniesienia są połączone z numerami po identyfikatorze błędu. Urządzenia z Androidem 10 lub nowszym mogą otrzymywać aktualizacje zabezpieczeń, a także aktualizacje systemowe Google Play.
Platforma
Najpoważniejsza luka w tym rozdziale może doprowadzić do zdalnego podwyższenia uprawnień bez konieczności uzyskania dodatkowych uprawnień do wykonywania. Wykorzystanie nie wymaga interakcji z użytkownikiem.
| CVE | Pliki referencyjne | Typ | Poziom | Zaktualizowane wersje AOSP |
|---|---|---|---|---|
| CVE-2023-40077 | A-298057702 | EoP | Krytyczny | 11, 12, 12L, 13, 14 |
| CVE-2023-40076 | A-303835719 | ID | Krytyczny | 14 |
| CVE-2023-40079 | A-278722815 | EoP | Wysoki | 14 |
| CVE-2023-40089 | A-294228721 | EoP | Wysoki | 14 |
| CVE-2023-40091 | A-283699145 | EoP | Wysoki | 11, 12, 12L, 13, 14 |
| CVE-2023-40094 | A-288896339 | EoP | Wysoki | 11, 12, 12L, 13, 14 |
| CVE-2023-40095 | A-273729172 | EoP | Wysoki | 11, 12, 12L, 13, 14 |
| CVE-2023-40096 | A-268724205 [2] [3] [4] | EoP | Wysoki | 11, 12, 12L, 13, 14 |
| CVE-2023-40103 | A-197260547 [2] [3] | EoP | Wysoki | 14 |
| CVE-2023-45774 | A-288113797 | EoP | Wysoki | 11, 12, 12L, 13, 14 |
| CVE-2023-45777 | A-299930871 [2] | EoP | Wysoki | 13, 14 |
| CVE-2023-40073 | A-287640400 | ID | Wysoki | 11, 12, 12L, 13, 14 |
| CVE-2023-40092 | A-288110451 | ID | Wysoki | 11, 12, 12L, 13, 14 |
| CVE-2023-40074 | A-247513680 | DoS | Wysoki | 11, 12, 12L, 13 |
| CVE-2023-40075 | A-281061287 | DoS | Wysoki | 11, 12, 12L, 13, 14 |
System
Najpoważniejsza luka w zabezpieczeniach w tej sekcji może umożliwić zdalne (sąsiednie) uruchomienie kodu bez dodatkowych uprawnień do wykonywania. Wykorzystanie nie wymaga interakcji użytkownika.
| CVE | Pliki referencyjne | Typ | Poziom | Zaktualizowane wersje AOSP |
|---|---|---|---|---|
| CVE-2023-40088 | A-291500341 | RCE | Krytyczny | 11, 12, 12L, 13, 14 |
| CVE-2023-40078 | A-275626001 | EoP | Wysoki | 14 |
| CVE-2023-40080 | A-275057843 | EoP | Wysoki | 13, 14 |
| CVE-2023-40082 | A-290909089 | EoP | Wysoki | 14 |
| CVE-2023-40084 | A-272382770 | EoP | Wysoki | 11, 12, 12L, 13, 14 |
| CVE-2023-40087 | A-275895309 | EoP | Wysoki | 11, 12, 12L, 13, 14 |
| CVE-2023-40090 | A-274478807 | EoP | Wysoki | 11, 12, 12L, 13, 14 |
| CVE-2023-40097 | A-295334906 | EoP | Wysoki | 11, 12, 12L, 13 |
| CVE-2023-45773 | A-275057847 | EoP | Wysoki | 13, 14 |
| CVE-2023-45775 | A-275340684 | EoP | Wysoki | 14 |
| CVE-2023-45776 | A-282234870 | EoP | Wysoki | 14 |
| CVE-2023-21394 | A-296915211 | ID | Wysoki | 11, 12, 12L, 13 |
| CVE-2023-35668 | A-283962802 | ID | Wysoki | 11, 12, 12L, 13 |
| CVE-2023-40083 | A-277590580 [2] | ID | Wysoki | 12, 12L, 13, 14 |
| CVE-2023-40098 | A-288896269 | ID | Wysoki | 12, 12L, 13, 14 |
| CVE-2023-45781 | A-275553827 [2] | ID | Wysoki | 12, 12L, 13, 14 |
Aktualizacje systemowe Google Play
W tym miesiącu w ramach aktualizacji systemowych Google Play (projekt Mainline) nie rozwiązujemy żadnych problemów z bezpieczeństwem.
2023-12-05 szczegóły luki w zabezpieczeniach na poziomie aktualizacji zabezpieczeń
W sekcjach poniżej znajdziesz szczegółowe informacje o każdej z luk w zabezpieczeniach, które dotyczą poziomu poprawek z 2023-12-05. Luki w zabezpieczeniach są pogrupowane według komponentu, którego dotyczą. Problemy są opisane w tabelach poniżej. Zawierają one identyfikator CVE, powiązane odniesienia, typ luki, powagę oraz zaktualizowane wersje AOSP (w stosownych przypadkach). W razie możliwości łączymy publiczną zmianę, która rozwiązała problem, z identyfikatorem błędu, np. z listą zmian w AOSP. Jeśli wiele zmian dotyczy jednego błędu, dodatkowe odniesienia są połączone z numerami po identyfikatorze błędu.
System
Użytkownik, który wykorzysta podatność opisaną w tej sekcji, może zdalnie (w pobliżu lub obok) eskalować uprawnienia bez konieczności uzyskania dodatkowych uprawnień do wykonania. Wykorzystanie nie wymaga interakcji z użytkownikiem.
| CVE | Pliki referencyjne | Typ | Poziom | Zaktualizowane wersje AOSP |
|---|---|---|---|---|
| CVE-2023-45866 | A-294854926 [2] [3] [4] [5] | EoP | Krytyczny | 11, 12, 12L, 13, 14 |
Komponenty ramienia
Te luki w zabezpieczeniach dotyczą komponentów Arm. Więcej informacji można uzyskać bezpośrednio od firmy Arm. Ocenę powagi tych problemów zapewnia bezpośrednio firma Arm.
| CVE | Pliki referencyjne | Poziom | Składnik podrzędny |
|---|---|---|---|
| CVE-2023-3889 |
A-295942985 * | Wysoki | Mali |
| CVE-2023-4272 |
A-296910715 * | Wysoki | Mali |
| CVE-2023-32804 |
A-272772567 * | Wysoki | Mali |
Imagination Technologies
Te luki w zabezpieczeniach dotyczą komponentów Imagination Technologies. Więcej informacji można uzyskać bezpośrednio od Imagination Technologies. Ocena powagi tych problemów jest dostarczana bezpośrednio przez Imagination Technologies.
| CVE | Pliki referencyjne | Poziom | Składnik podrzędny |
|---|---|---|---|
| CVE-2023-21162 |
A-292004168 * | Wysoki | PowerVR-GPU |
| CVE-2023-21163 |
A-292003338 * | Wysoki | PowerVR-GPU |
| CVE-2023-21164 |
A-292002918 * | Wysoki | PowerVR-GPU |
| CVE-2023-21166 |
A-292002163 * | Wysoki | PowerVR-GPU |
| CVE-2023-21215 |
A-291982610 * | Wysoki | PowerVR-GPU |
| CVE-2023-21216 |
A-291999952 * | Wysoki | PowerVR-GPU |
| CVE-2023-21217 |
A-292087506 * | Wysoki | PowerVR-GPU |
| CVE-2023-21218 |
A-292000190 * | Wysoki | PowerVR-GPU |
| CVE-2023-21228 |
A-291999439 * | Wysoki | PowerVR-GPU |
| CVE-2023-21263 |
A-305095406 * | Wysoki | PowerVR-GPU |
| CVE-2023-21401 |
A-305091236 * | Wysoki | PowerVR-GPU |
| CVE-2023-21402 |
A-305093885 * | Wysoki | PowerVR-GPU |
| CVE-2023-21403 |
A-305096969 * | Wysoki | PowerVR-GPU |
| CVE-2023-35690 |
A-305095935 * | Wysoki | PowerVR-GPU |
| CVE-2023-21227 |
A-291998937 * | Wysoki | PowerVR-GPU |
Komponenty MediaTek
Te luki w zabezpieczeniach dotyczą komponentów MediaTek. Więcej informacji można uzyskać bezpośrednio od firmy MediaTek. Ocena powagi tych problemów jest dostarczana bezpośrednio przez MediaTek.
| CVE | Pliki referencyjne | Poziom | Składnik podrzędny |
|---|---|---|---|
| CVE-2023-32818 |
A-294770901
M-ALPS08013430, M-ALPS08163896 * |
Wysoki | vdec |
| CVE-2023-32847 |
A-302982512
M-ALPS08241940 * |
Wysoki | dźwięk |
| CVE-2023-32848 |
A-302982513
M-ALPS08163896 * |
Wysoki | vdec |
| CVE-2023-32850 |
A-302983201
M-ALPS08016659 * |
Wysoki | dekoder |
| CVE-2023-32851 |
A-302986375
M-ALPS08016652 * |
Wysoki | dekoder |
Różne OEM
Ta luka dotyczy komponentów OEM Misc. Więcej informacji można uzyskać bezpośrednio od OEM Misc. Ocena powagi tego problemu jest dostarczana bezpośrednio przez producenta OEM.
| CVE | Pliki referencyjne | Poziom | Składnik podrzędny |
|---|---|---|---|
| CVE-2023-45779 |
A-301094654 * | Wysoki | interfejs systemu |
Komponenty Unisoc
Te luki w zabezpieczeniach dotyczą komponentów Unisoc. Więcej informacji można uzyskać bezpośrednio od Unisoc. Ocenę powagi tych problemów przeprowadza bezpośrednio Unisoc.
| CVE | Pliki referencyjne | Poziom | Składnik podrzędny |
|---|---|---|---|
| CVE-2022-48456 |
A-300376910
U-1914157 * |
Wysoki | Bąbelki |
| CVE-2022-48461 |
A-300368868
U-1905646 * |
Wysoki | Bąbelki |
| CVE-2022-48454 |
A-300382178
U-2220123 * |
Wysoki | Android |
| CVE-2022-48455 |
A-300385151
U-2220123 * |
Wysoki | Android |
| CVE-2022-48457 |
A-300368872
U-2161952 * |
Wysoki | Android |
| CVE-2022-48458 |
A-300368874
U-2161952 * |
Wysoki | Android |
| CVE-2022-48459 |
A-300368875
U-2161952 * |
Wysoki | Android |
Komponenty Qualcomm
Te luki w zabezpieczeniach dotyczą komponentów Qualcomm i są opisane bardziej szczegółowo w odpowiednim biuletynie lub alertu bezpieczeństwa Qualcomm. Ocena stopnia ważności tych problemów jest dostarczana bezpośrednio przez firmę Qualcomm.
| CVE | Pliki referencyjne | Poziom | Składnik podrzędny |
|---|---|---|---|
| CVE-2023-28588 |
A-285902729
QC-CR#3417458 |
Wysoki | Bluetooth |
| CVE-2023-33053 |
A-299146326
QC-CR#3453941 |
Wysoki | Bąbelki |
| CVE-2023-33063 |
A-266568298
QC-CR#3447219 [2] |
Wysoki | Bąbelki |
| CVE-2023-33079 |
A-299146464
QC-CR#3446191 |
Wysoki | Audio |
| CVE-2023-33087 |
A-299146536
QC-CR#3508356 [2] |
Wysoki | Bąbelki |
| CVE-2023-33092 |
A-299146537
QC-CR#3507292 |
Wysoki | Bluetooth |
| CVE-2023-33106 |
A-300941008
QC-CR#3612841 |
Wysoki | Wyświetlacz |
| CVE-2023-33107 |
A-299649795
QC-CR#3611296 |
Wysoki | Wyświetlacz |
Komponenty Qualcomm o zamkniętym kodzie źródłowym
Te luki w zabezpieczeniach dotyczą komponentów Qualcomm o zamkniętym kodzie źródłowym i są opisane bardziej szczegółowo w odpowiednim biuletynie lub ostrzeżeniu dotyczącym zabezpieczeń Qualcomm. Ocena stopnia ważności tych problemów jest dostarczana bezpośrednio przez firmę Qualcomm.
| CVE | Pliki referencyjne | Poziom | Składnik podrzędny |
|---|---|---|---|
| CVE-2022-40507 |
A-261468680 * | Krytyczny | Komponent zamkniętego źródła |
| CVE-2022-22076 |
A-261469325 * | Wysoki | Komponent zamkniętego źródła |
| CVE-2023-21652 |
A-268059928 * | Wysoki | Komponent zamkniętego źródła |
| CVE-2023-21662 |
A-271879599 * | Wysoki | Komponent zamkniętego źródła |
| CVE-2023-21664 |
A-271879160 * | Wysoki | Komponent zamkniętego źródła |
| CVE-2023-28546 |
A-285902568 * | Wysoki | Komponent zamkniętego źródła |
| CVE-2023-28550 |
A-280341535 * | Wysoki | Komponent zamkniętego źródła |
| CVE-2023-28551 |
A-280341572 * | Wysoki | Komponent zamkniętego źródła |
| CVE-2023-28585 |
A-285902652 * | Wysoki | Komponent zamkniętego źródła |
| CVE-2023-28586 |
A-285903022 * | Wysoki | Komponent zamkniętego źródła |
| CVE-2023-28587 |
A-285903202 * | Wysoki | Komponent zamkniętego źródła |
| CVE-2023-33017 |
A-285902412 * | Wysoki | Komponent zamkniętego źródła |
| CVE-2023-33018 |
A-285902728 * | Wysoki | Komponent zamkniętego źródła |
| CVE-2023-33022 |
A-285903201 * | Wysoki | Komponent zamkniętego źródła |
| CVE-2023-33054 |
A-295020170 * | Wysoki | Komponent zamkniętego źródła |
| CVE-2023-33080 |
A-299147105 * | Wysoki | Komponent zamkniętego źródła |
| CVE-2023-33081 |
A-299145668 * | Wysoki | Komponent zamkniętego źródła |
| CVE-2023-33088 |
A-299146964 * | Wysoki | Komponent zamkniętego źródła |
| CVE-2023-33089 |
A-299146027 * | Wysoki | Komponent zamkniętego źródła |
| CVE-2023-33097 |
A-299147106 * | Wysoki | Komponent zamkniętego źródła |
| CVE-2023-33098 |
A-299146466 * | Wysoki | Komponent zamkniętego źródła |
Najczęstsze pytania i odpowiedzi
W tej sekcji znajdziesz odpowiedzi na najczęstsze pytania, które mogą pojawić się po przeczytaniu tego biuletynu.
1. Jak sprawdzić, czy moje urządzenie jest zaktualizowane i czy naprawiono te problemy?
Aby dowiedzieć się, jak sprawdzić poziom poprawek zabezpieczeń urządzenia, przeczytaj artykuł Sprawdzanie i aktualizowanie wersji Androida.
- Poziomy aktualizacji zabezpieczeń z 2023-12-01 lub nowsze rozwiązują wszystkie problemy związane z poziomem aktualizacji zabezpieczeń z 2023-12-01.
- Poziomy aktualizacji zabezpieczeń z 2023-12-05 lub nowsze rozwiązują wszystkie problemy związane z poziomem aktualizacji zabezpieczeń z 2023-12-05 i wszystkimi poprzednimi poziomami.
Producenci urządzeń, którzy udostępniają te aktualizacje, powinni ustawić poziom ciągu poprawek na:
- [ro.build.version.security_patch]:[2023-12-01]
- [ro.build.version.security_patch]:[2023-12-05]
W przypadku niektórych urządzeń z Androidem 10 lub nowszym aktualizacja systemu Google Play będzie miała ciąg znaków daty odpowiadający poziomowi poprawki zabezpieczeń 2023-12-01. Więcej informacji o instalowaniu aktualizacji zabezpieczeń znajdziesz w tym artykule.
2. Dlaczego w tym komunikacie są 2 poziomy aktualizacji zabezpieczeń?
W tym komunikacie znajdują się 2 poziomy poprawek zabezpieczeń, dzięki którym partnerzy Androida mają elastyczność w szybszym naprawianiu podzbioru luk w zabezpieczeniach, które występują na wszystkich urządzeniach z Androidem. Partnerów Androida zachęcamy do rozwiązania wszystkich problemów opisanych w tym biuletynie i zastosowania najnowszego poziomu poprawek zabezpieczeń.
- Urządzenia, które korzystają z poziomu poprawki zabezpieczeń z 2023-12-01, muszą zawierać wszystkie problemy związane z tym poziomem poprawki zabezpieczeń, a także poprawki wszystkich problemów zgłoszonych w poprzednich biuletynach bezpieczeństwa.
- Urządzenia z poziomem poprawki zabezpieczeń 2023-12-05 lub nowszym muszą zawierać wszystkie poprawki z tych (i wcześniejszych) biuletynów bezpieczeństwa.
Zachęcamy partnerów do łączenia poprawek dotyczących wszystkich problemów w jednym pakiecie.
3. Co oznaczają wpisy w kolumnie Typ?
Wpisy w kolumnie Typ w tabeli szczegółów podatności odnoszą się do klasyfikacji podatności na zagrożenia.
| Skrót | Definicja |
|---|---|
| RCE | Zdalne wykonywanie kodu |
| EoP | Podniesienie uprawnień |
| ID | Ujawnianie informacji |
| DoS | Atak typu DoS |
| Nie dotyczy | Klasyfikacja niedostępna |
4. Co oznaczają wpisy w kolumnie Odniesienia?
Wpisy w kolumnie Odwołania w tabeli szczegółów podatności mogą zawierać prefiks identyfikujący organizację, do której należy wartość odwołania.
| Prefiks | Źródła wiedzy |
|---|---|
| A- | Identyfikator błędu na Androidzie |
| QC- | Numer referencyjny Qualcomm |
| M- | Numer referencyjny MediaTek |
| N- | Numer referencyjny NVIDIA |
| B- | Numer referencyjny Broadcom |
| U- | Numer referencyjny UNISOC |
5. Co oznacza znak * obok identyfikatora błędu Androida w kolumnie Odniesienia?
Problemy, które nie są dostępne publicznie, mają * obok odpowiedniego identyfikatora referencyjnego. Aktualizacja dotycząca tego problemu jest zwykle zawarta w najnowszych binarnych sterownikach urządzeń Pixel dostępnych na stronie dla deweloperów Google.
6. Dlaczego luki w zabezpieczeniach są podzielone między ten biuletyn a biuletyny dotyczące zabezpieczeń urządzeń i partnerów, takie jak biuletyn dotyczący Pixela?
Aby zadeklarować najnowszy stan aktualizacji zabezpieczeń na urządzeniach z Androidem, należy uwzględnić luki w zabezpieczeniach opisane w tym biuletynie. Dodatkowe luki w zabezpieczeniach opisane w biuletynach dotyczących zabezpieczeń urządzenia lub partnera nie są wymagane do zadeklarowania poziomu aktualizacji zabezpieczeń. Producenci urządzeń i chipsetów z Androidem mogą też publikować informacje o lukach w zabezpieczeniach w swoich produktach, takich jak Google, Huawei, LGE, Motorola, Nokia i Samsung.
Wersje
| Wersja | Data | Uwagi |
|---|---|---|
| 1,0 | 4 grudnia 2023 r. | Biuletyn opublikowany |
| 1,1 | 6 grudnia 2023 r. | Wprowadziliśmy zmiany w powiadomieniu, aby zawierało linki do AOSP |
| 1,1 | 22 stycznia 2024 r. | Zmieniona tabela CVE |