Biuletyn aktualizacji systemu operacyjnego Android Automotive — styczeń 2023 r

Opublikowano 3 stycznia 2022 r

Biuletyn aktualizacji systemu operacyjnego Android Automotive (AAOS) zawiera szczegółowe informacje na temat luk w zabezpieczeniach platformy systemu operacyjnego Android Automotive. Pełna aktualizacja AAOS obejmuje poprawkę zabezpieczeń w wersji z dnia 2023-01-05 lub nowszą z Biuletynu zabezpieczeń Androida ze stycznia 2023 r. oraz wszystkie problemy opisane w tym biuletynie.

Zachęcamy wszystkich klientów do zaakceptowania tych aktualizacji na swoich urządzeniach.

Najpoważniejszym z tych problemów jest luka w zabezpieczeniach komponentu Platform Apps, która może prowadzić do lokalnej eskalacji uprawnień bez konieczności posiadania dodatkowych uprawnień do wykonywania. Ocena ważności opiera się na możliwym wpływie wykorzystania luki na urządzenie, którego dotyczy luka, przy założeniu, że zabezpieczenia platformy i usług zostaną wyłączone na potrzeby programowania lub jeśli uda się je obejść.

Ogłoszenia

  • Oprócz luk w zabezpieczeniach opisanych w Biuletynie zabezpieczeń systemu Android ze stycznia 2023 r., biuletyn aktualizacji systemu operacyjnego Android Automotive OS ze stycznia 2023 r. zawiera również poprawki specjalnie dla luk w zabezpieczeniach AAOS, jak opisano poniżej.

2023-01-01 Szczegóły luki w zabezpieczeniach na poziomie poprawki zabezpieczeń

W poniższych sekcjach podajemy szczegółowe informacje na temat każdej luki w zabezpieczeniach, która ma zastosowanie w wersji poprawki 2023-01-01. Luki są pogrupowane według komponentu, którego dotyczą. Problemy opisano w tabelach poniżej i obejmują identyfikator CVE, powiązane odniesienia, typ luki , wagę i zaktualizowane wersje AOSP (w stosownych przypadkach). Jeśli to możliwe, łączymy publiczną zmianę, która rozwiązała problem, z identyfikatorem błędu, np. listą zmian AOSP. Gdy wiele zmian dotyczy jednego błędu, dodatkowe odniesienia są powiązane z liczbami następującymi po identyfikatorze błędu. Urządzenia z Androidem 10 i nowszym mogą otrzymywać aktualizacje zabezpieczeń, a także aktualizacje systemu Google Play .

Ramy medialne

Luka w tej sekcji może prowadzić do ujawnienia informacji lokalnych bez konieczności posiadania dodatkowych uprawnień do wykonywania.

CVE Bibliografia Typ Powaga Zaktualizowane wersje AOSP
CVE-2022-20353 A-221041256 ID Wysoki 10, 11

Aplikacje platformy

Najpoważniejsza luka w tej sekcji może prowadzić do lokalnej eskalacji uprawnień bez konieczności posiadania dodatkowych uprawnień do wykonywania.

CVE Bibliografia Typ Powaga Zaktualizowane wersje AOSP
CVE-2021-39738 A-216190509 EoP Wysoki 10, 11, 12, 12L
CVE-2022-20425 A-255830464 DoS Wysoki 10, 11

Dodatkowe szczegóły dotyczące luki

W poniższej sekcji znajdują się szczegółowe informacje na temat luk w zabezpieczeniach ujawnionych w celu ich ujawnienia. Kwestie te nie są wymagane do zapewnienia zgodności z SPL.

Aplikacje platformy

CVE Bibliografia Typ Powaga Zaktualizowane wersje AOSP
CVE-2022-20213 A-183410508 DoS Umiarkowany 10, 11, 12
CVE-2022-20215 A-183794206 DoS Umiarkowany 10, 11, 12
CVE-2022-20214 A-183411210 EoP Niski 10, 11, 12

Interfejs systemu

CVE Bibliografia Typ Powaga Zaktualizowane wersje AOSP
CVE-2022-20458 A-205567776 EoP Umiarkowany 12L

Składniki jądra

CVE Bibliografia Typ Powaga Podskładnik
CVE-2022-28389 A-228694270
Jądro nadrzędne
EoP Umiarkowany Sterownik magistrali USB CAN

Często zadawane pytania i odpowiedzi

W tej sekcji znajdują się odpowiedzi na często zadawane pytania, które mogą pojawić się po przeczytaniu niniejszego biuletynu.

1. Jak sprawdzić, czy moje urządzenie zostało zaktualizowane w celu rozwiązania tych problemów?

Aby dowiedzieć się, jak sprawdzić poziom poprawek zabezpieczeń urządzenia, przeczytaj instrukcje w harmonogramie aktualizacji urządzeń Google .

  • Poziomy poprawek zabezpieczeń 2023-01-01 lub nowsze rozwiązują wszystkie problemy związane z poziomem poprawek zabezpieczeń 2023-01-01.

Producenci urządzeń, którzy zawierają te aktualizacje, powinni ustawić poziom ciągu poprawek na:

  • [ro.build.version.security_patch]:[2023-01-01]

W przypadku niektórych urządzeń z Androidem 10 lub nowszym aktualizacja systemu Google Play będzie zawierać ciąg daty zgodny z poziomem poprawki zabezpieczeń z dnia 2023-01-01. Więcej informacji na temat instalowania aktualizacji zabezpieczeń można znaleźć w tym artykule .

2. Co oznaczają wpisy w kolumnie Typ ?

Wpisy w kolumnie Typ tabeli szczegółów luki odnoszą się do klasyfikacji luki w zabezpieczeniach.

Skrót Definicja
RCE Zdalne wykonanie kodu
EoP Podniesienie przywilejów
ID Ujawnianie informacji
DoS Odmowa usługi
Nie dotyczy Klasyfikacja niedostępna

3. Co oznaczają wpisy w kolumnie Referencje ?

Wpisy w kolumnie Referencje tabeli szczegółów podatności mogą zawierać przedrostek identyfikujący organizację, do której należy wartość referencyjna.

Prefiks Odniesienie
A- Identyfikator błędu Androida
Kontrola jakości- Numer referencyjny Qualcomma
M- Numer referencyjny MediaTeka
N- Numer referencyjny NVIDIA
B- Numer referencyjny firmy Broadcom
U- Numer referencyjny UNISOC

4. Co oznacza * obok identyfikatora błędu Androida w kolumnie Referencje ?

Wydania, które nie są publicznie dostępne, są oznaczone * obok odpowiedniego identyfikatora referencyjnego. Aktualizacja rozwiązująca ten problem jest zazwyczaj zawarta w najnowszych sterownikach binarnych dla urządzeń Pixel dostępnych w witrynie Google Developer .

5. Dlaczego luki w zabezpieczeniach są podzielone pomiędzy ten biuletyn i biuletyny dotyczące bezpieczeństwa urządzeń/partnerów, takie jak biuletyn Pixel?

Luki w zabezpieczeniach udokumentowane w tym biuletynie zabezpieczeń są wymagane do zadeklarowania najnowszego poziomu poprawek zabezpieczeń na urządzeniach z systemem Android. Dodatkowe luki w zabezpieczeniach udokumentowane w biuletynach bezpieczeństwa urządzenia/partnera nie są wymagane do zadeklarowania poziomu poprawki zabezpieczeń. Producenci urządzeń i chipsetów z Androidem mogą również publikować szczegółowe informacje o lukach w zabezpieczeniach swoich produktów, np. Google , Huawei , LGE , Motorola , Nokia czy Samsung .

6. Dlaczego ten biuletyn ma dwa poziomy poprawek zabezpieczeń?

W tym biuletynie dostępne są dwa poziomy poprawek zabezpieczeń, dzięki czemu partnerzy systemu Android mogą szybciej naprawić podzbiór luk w zabezpieczeniach, które są podobne na wszystkich urządzeniach z systemem Android. Zachęcamy partnerów korzystających z systemu Android do naprawienia wszystkich problemów opisanych w tym biuletynie i korzystania z najnowszego poziomu poprawek zabezpieczeń.

  • Urządzenia korzystające z poprawki zabezpieczeń na poziomie 2023-01-01 muszą zawierać wszystkie problemy związane z tym poziomem poprawki zabezpieczeń, a także poprawki wszystkich problemów zgłoszonych w poprzednich biuletynach zabezpieczeń.

Zachęcamy partnerów do grupowania poprawek wszystkich problemów, które rozwiązują, w ramach jednej aktualizacji.

Wersje

Wersja Data Notatki
1,0 3 stycznia 2022 r Opublikowano biuletyn