Android 安全性公告 - 2023 年 12 月

發佈於 2023 年 12 月 4 日 |更新於 2024 年 1 月 22 日

Android 安全公告包含影響 Android 裝置的安全漏洞的詳細資訊。 2023 年 12 月 5 日或更高版本的安全性修補程式等級可解決所有這些問題。若要了解如何檢查裝置的安全性修補程式級別,請參閱檢查和更新您的 Android 版本

Android 合作夥伴至少會在發布前一個月收到有關所有問題的通知。這些問題的源代碼補丁已發佈到 Android 開源專案 (AOSP) 儲存庫,並從此公告連結。此公告還包含 AOSP 之外的補丁的連結。

其中最嚴重的問題是系統組件中的嚴重安全漏洞,該漏洞可能導致遠端(近端/相鄰)程式碼執行,而無需額外的執行權限。利用該漏洞不需要使用者互動。嚴重性評估是基於利用漏洞可能對受影響設備的影響,假設平台和服務緩解措施出於開發目的而關閉或成功繞過。

有關 Android安全平台保護Google Play Protect 的詳細信息,請參閱 Android 和 Google Play Protect 緩解措施部分,這些保護可提高 Android 平台的安全性。

Android 和 Google 服務緩解措施

這是Android 安全平台和服務保護(例如Google Play Protect)提供的緩解措施的摘要。這些功能降低了 Android 上安全漏洞被成功利用的可能性。

  • 新版 Android 平台的增強功能使得利用 Android 上的許多問題變得更加困難。我們鼓勵所有用戶盡可能更新到最新版本的 Android。
  • Android 安全團隊透過Google Play Protect積極監控濫用行為,並向使用者發出潛在有害應用程式的警告。預設情況下,在具有Google 行動服務的裝置上啟用 Google Play Protect,這對於從 Google Play 外部安裝應用程式的使用者尤其重要。

2023-12-01 安全修補程式等級漏洞詳情

在下面的部分中,我們提供了適用於 2023 年 12 月 1 日修補程式等級的每個安全漏洞的詳細資訊。漏洞按其影響的組件進行分組。下表描述了問題,包括 CVE ID、相關參考文獻、漏洞類型嚴重性和更新的 AOSP 版本(如果適用)。如果可用,我們會將解決問題的公共變更連結到錯誤 ID,例如 AOSP 變更清單。當多個變更與單一錯誤相關時,其他參考連結到錯誤 ID 後面的數字。搭載 Android 10 及更高版本的裝置可能會收到安全性更新以及Google Play 系統更新

框架

本節中最嚴重的漏洞可能會導致遠端權限升級,而無需額外的執行權限。利用該漏洞不需要使用者互動。

CVE參考類型嚴重性更新了 AOSP 版本
CVE-2023-40077 A-298057702結束時間批判的11, 12, 12L, 13, 14
CVE-2023-40076 A-303835719 ID批判的14
CVE-2023-40079 A-278722815結束時間高的14
CVE-2023-40089 A-294228721結束時間高的14
CVE-2023-40091 A-283699145結束時間高的11, 12, 12L, 13, 14
CVE-2023-40094 A-288896339結束時間高的11, 12, 12L, 13, 14
CVE-2023-40095 A-273729172結束時間高的11, 12, 12L, 13, 14
CVE-2023-40096 A-268724205 [ 2 ] [ 3 ] [ 4 ]結束時間高的11, 12, 12L, 13, 14
CVE-2023-40103 A-197260547 [ 2 ] [ 3 ]結束時間高的14
CVE-2023-45774 A-288113797結束時間高的11, 12, 12L, 13, 14
CVE-2023-45777 A-299930871 [ 2 ]結束時間高的13, 14
CVE-2023-40073 A-287640400 ID高的11, 12, 12L, 13, 14
CVE-2023-40092 A-288110451 ID高的11, 12, 12L, 13, 14
CVE-2023-40074 A-247513680拒絕服務高的11、12、12L、13
CVE-2023-40075 A-281061287拒絕服務高的11, 12, 12L, 13, 14

系統

本節中最嚴重的漏洞可能會導致遠端(鄰近/相鄰)程式碼執行,而無需額外的執行權限。利用該漏洞不需要使用者互動。

CVE參考類型嚴重性更新了 AOSP 版本
CVE-2023-40088 A-291500341遠端程式碼執行批判的11, 12, 12L, 13, 14
CVE-2023-40078 A-275626001結束時間高的14
CVE-2023-40080 A-275057843結束時間高的13, 14
CVE-2023-40082 A-290909089結束時間高的14
CVE-2023-40084 A-272382770結束時間高的11, 12, 12L, 13, 14
CVE-2023-40087 A-275895309結束時間高的11, 12, 12L, 13, 14
CVE-2023-40090 A-274478807結束時間高的11, 12, 12L, 13, 14
CVE-2023-40097 A-295334906結束時間高的11、12、12L、13
CVE-2023-45773 A-275057847結束時間高的13, 14
CVE-2023-45775 A-275340684結束時間高的14
CVE-2023-45776 A-282234870結束時間高的14
CVE-2023-21394 A-296915211 ID高的11、12、12L、13
CVE-2023-35668 A-283962802 ID高的11、12、12L、13
CVE-2023-40083 A-277590580 [ 2 ] ID高的12、12L、13、14
CVE-2023-40098 A-288896269 ID高的12、12L、13、14
CVE-2023-45781 A-275553827 [ 2 ] ID高的12、12L、13、14

Google Play 系統更新

本月 Google Play 系統更新(Project Mainline)中沒有解決任何安全性問題。

2023-12-05 安全修補程式等級漏洞詳情

在下面的部分中,我們提供了適用於 2023 年 12 月 05 日修補程式等級的每個安全漏洞的詳細資訊。漏洞按其影響的組件進行分組。下表描述了問題,包括 CVE ID、相關參考文獻、漏洞類型嚴重性和更新的 AOSP 版本(如果適用)。如果可用,我們會將解決問題的公共變更連結到錯誤 ID,例如 AOSP 變更清單。當多個變更與單一錯誤相關時,其他參考連結到錯誤 ID 後面的數字。

系統

此部分中的漏洞可能會導致遠端(近端/相鄰)權限升級,而無需額外的執行權限。利用該漏洞不需要使用者互動。

CVE參考類型嚴重性更新了 AOSP 版本
CVE-2023-45866 A-294854926 [ 2 ] [ 3 ] [ 4 ] [ 5 ]結束時間批判的11, 12, 12L, 13, 14

手臂組件

這些漏洞影響 Arm 組件,可直接從 Arm 取得更多詳細資訊。這些問題的嚴重性評估由 Arm 直接提供。

CVE參考嚴重性子組件
CVE-2023-3889
A-295942985 *高的馬裡
CVE-2023-4272
A-296910715 *高的馬裡
CVE-2023-32804
A-272772567 *高的馬裡

想像力科技

這些漏洞影響 Imagination Technologies 組件,更多詳細資訊可直接從 Imagination Technologies 取得。這些問題的嚴重性評估由 Imagination Technologies 直接提供。

CVE參考嚴重性子組件
CVE-2023-21162
A-292004168 *高的PowerVR-GPU
CVE-2023-21163
A-292003338 *高的PowerVR-GPU
CVE-2023-21164
A-292002918 *高的PowerVR-GPU
CVE-2023-21166
A-292002163 *高的PowerVR-GPU
CVE-2023-21215
A-291982610 *高的PowerVR-GPU
CVE-2023-21216
A-291999952 *高的PowerVR-GPU
CVE-2023-21217
A-292087506 *高的PowerVR-GPU
CVE-2023-21218
A-292000190 *高的PowerVR-GPU
CVE-2023-21228
A-291999439 *高的PowerVR-GPU
CVE-2023-21263
A-305095406 *高的PowerVR-GPU
CVE-2023-21401
A-305091236 *高的PowerVR-GPU
CVE-2023-21402
A-305093885 *高的PowerVR-GPU
CVE-2023-21403
A-305096969 *高的PowerVR-GPU
CVE-2023-35690
A-305095935 *高的PowerVR-GPU
CVE-2023-21227
A-291998937 *高的PowerVR-GPU

聯發科技組件

這些漏洞影響 MediaTek 元件,可直接從 MediaTek 取得更多詳細資訊。這些問題的嚴重性評估由聯發科直接提供。

CVE參考嚴重性子組件
CVE-2023-32818
A-294770901
M-ALPS08013430, M-ALPS08163896 *
高的視訊解碼器
CVE-2023-32847
A-302982512
M-ALPS08241940 *
高的聲音的
CVE-2023-32848
A-302982513
M-ALPS08163896 *
高的視訊解碼器
CVE-2023-32850
A-302983201
M-ALPS08016659 *
高的解碼器
CVE-2023-32851
A-302986375
M-ALPS08016652 *
高的解碼器

雜項代工

此漏洞影響 Misc OEM 元件,可直接從 Misc OEM 取得更多詳細資訊。此問題的嚴重性評估由 Misc OEM 直接提供。

CVE參考嚴重性子組件
CVE-2023-45779
A-301094654 *高的系統介面

紫光展銳組件

這些漏洞影響 Unisoc 元件,可直接從 Unisoc 取得更多詳細資訊。這些問題的嚴重性評估由紫光展銳直接提供。

CVE參考嚴重性子組件
CVE-2022-48456
A-300376910
U-1914157 *
高的核心
CVE-2022-48461
A-300368868
U-1905646 *
高的核心
CVE-2022-48454
A-300382178
U-2220123 *
高的安卓
CVE-2022-48455
A-300385151
U-2220123 *
高的安卓
CVE-2022-48457
A-300368872
U-2161952 *
高的安卓
CVE-2022-48458
A-300368874
U-2161952 *
高的安卓
CVE-2022-48459
A-300368875
U-2161952 *
高的安卓

高通組件

這些漏洞影響 Qualcomm 元件,並在相應的 Qualcomm 安全公告或安全警報中進行了更詳細的描述。這些問題的嚴重性評估由高通直接提供。

CVE參考嚴重性子組件
CVE-2023-28588
A-285902729
QC-CR#3417458
高的藍牙
CVE-2023-33053
A-299146326
QC-CR#3453941
高的核心
CVE-2023-33063
A-266568298
QC-CR#3447219 [ 2 ]
高的核心
CVE-2023-33079
A-299146464
QC-CR#3446191
高的聲音的
CVE-2023-33087
A-299146536
QC-CR#3508356 [ 2 ]
高的核心
CVE-2023-33092
A-299146537
QC-CR#3507292
高的藍牙
CVE-2023-33106
A-300941008
QC-CR#3612841
高的展示
CVE-2023-33107
A-299649795
QC-CR#3611296
高的展示

高通閉源元件

這些漏洞影響 Qualcomm 封閉源元件,並在相應的 Qualcomm 安全公告或安全警報中進行了更詳細的描述。這些問題的嚴重性評估由高通直接提供。

CVE參考嚴重性子組件
CVE-2022-40507
A-261468680 *批判的閉源元件
CVE-2022-22076
A-261469325 *高的閉源元件
CVE-2023-21652
A-268059928 *高的閉源元件
CVE-2023-21662
A-271879599 *高的閉源元件
CVE-2023-21664
A-271879160 *高的閉源元件
CVE-2023-28546
A-285902568 *高的閉源元件
CVE-2023-28550
A-280341535 *高的閉源元件
CVE-2023-28551
A-280341572 *高的閉源元件
CVE-2023-28585
A-285902652 *高的閉源元件
CVE-2023-28586
A-285903022 *高的閉源元件
CVE-2023-28587
A-285903202 *高的閉源元件
CVE-2023-33017
A-285902412 *高的閉源元件
CVE-2023-33018
A-285902728 *高的閉源元件
CVE-2023-33022
A-285903201 *高的閉源元件
CVE-2023-33054
A-295020170 *高的閉源元件
CVE-2023-33080
A-299147105 *高的閉源元件
CVE-2023-33081
A-299145668 *高的閉源元件
CVE-2023-33088
A-299146964 *高的閉源元件
CVE-2023-33089
A-299146027 *高的閉源元件
CVE-2023-33097
A-299147106 *高的閉源元件
CVE-2023-33098
A-299146466 *高的閉源元件

常見問題及解答

本節回答閱讀本公告後可能出現的常見問題。

1. 如何確定我的裝置是否已更新以解決這些問題?

若要了解如何檢查裝置的安全性修補程式級別,請參閱檢查和更新您的 Android 版本

  • 2023-12-01 或更高版本的安全性修補程式等級可解決與 2023-12-01 安全性修補程式層級相關的所有問題。
  • 2023-12-05 或更高版本的安全性修補程式等級解決了與 2023-12-05 安全性修補程式等級和所有先前修補程式等級相關的所有問題。

包含這些更新的裝置製造商應將補丁字串層級設定為:

  • [ro.build.version.security_patch]:[2023-12-01]
  • [ro.build.version.security_patch]:[2023-12-05]

對於某些運行 Android 10 或更高版本的設備,Google Play 系統更新將具有與 2023-12-01 安全性修補程式等級相符的日期字串。有關如何安裝安全更新的更多詳細信息,請參閱本文

2. 為什麼本公告有兩個安全修補程式等級?

此公告有兩個安全修補程式級別,以便 Android 合作夥伴能夠靈活地更快地修復所有 Android 裝置上相似的漏洞子集。我們鼓勵 Android 合作夥伴修復本公告中的所有問題並使用最新的安全性修補程式等級。

  • 使用 2023-12-01 安全性修補程式等級的裝置必須包含與該安全性修補程式等級相關的所有問題,以及先前安全性公告中報告的所有問題的修復程序。
  • 使用 2023 年 12 月 5 日或更高版本安全性修補程式層級的裝置必須包含本安全性公告(以及先前的)安全性公告中的所有適用修補程式。

我們鼓勵合作夥伴將他們正在解決的所有問題的修復程式捆綁在一次更新中。

3.類型欄中的條目是什麼意思?

漏洞詳細資料表的「類型」欄位中的條目引用安全漏洞的分類。

縮寫定義
遠端程式碼執行遠端程式碼執行
結束時間特權提升
ID資訊揭露
拒絕服務拒絕服務
不適用分類不可用

4.參考文獻欄中的條目是什麼意思?

漏洞詳細資料表的參考列下的條目可能包含標識引用值所屬組織的前綴。

字首參考
A-安卓錯誤 ID
QC-高通參考號
M-聯發科參考號
N- NVIDIA 參考號
B-博通參考號
U-紫光展銳參考號

5.參考資料欄中 Android bug ID 旁邊的 * 是什麼意思?

未公開發布的問題在相應的參考 ID 旁邊有一個 *。此問題的更新通常包含在Google 開發者網站上提供的 Pixel 裝置的最新二進位驅動程式中。

6. 為什麼安全漏洞會分為本公告和設備/合作夥伴安全公告(例如 Pixel 公告)?

本安全公告中記錄的安全漏洞需要在 Android 裝置上聲明最新的安全修補程式等級。聲明安全修補程式等級不需要設備/合作夥伴安全公告中記錄的其他安全漏洞。 Android 裝置和晶片組製造商還可能發布特定於其產品的安全漏洞詳細信息,例如Google華為LGE摩托羅拉諾基亞三星

版本

版本日期筆記
1.0 2023 年 12 月 4 日公告發布
1.1 2023 年 12 月 6 日公告已修訂以包含 AOSP 鏈接
1.1 2024 年 1 月 22 日修訂後的 CVE 表