O boletim de atualização do Android Automotive OS (AAOS) contém detalhes de vulnerabilidades de segurança que afetam a plataforma Android Automotive OS. A atualização completa do AAOS inclui o nível de patch de segurança de 2023-01-05 ou posterior do Boletim de segurança do Android de janeiro de 2023 , além de todos os problemas neste boletim.
Incentivamos todos os clientes a aceitar essas atualizações em seus dispositivos.
O mais grave desses problemas é uma alta vulnerabilidade de segurança no componente Platform Apps que pode levar à escalação local de privilégios sem a necessidade de privilégios de execução adicionais. A avaliação da gravidade é baseada no efeito que a exploração da vulnerabilidade possivelmente teria em um dispositivo afetado, supondo que as atenuações de plataforma e serviço sejam desativadas para fins de desenvolvimento ou se forem contornadas com êxito.
Anúncios
- Além das vulnerabilidades de segurança descritas no Boletim de segurança do Android de janeiro de 2023, o Boletim de atualização do sistema operacional Android Automotive de janeiro de 2023 também contém patches especificamente para vulnerabilidades AAOS, conforme descrito abaixo.
2023-01-01 detalhes da vulnerabilidade no nível do patch de segurança
Nas seções abaixo, fornecemos detalhes para cada uma das vulnerabilidades de segurança que se aplicam ao nível de patch 2023-01-01. As vulnerabilidades são agrupadas sob o componente que afetam. Os problemas são descritos nas tabelas abaixo e incluem ID CVE, referências associadas, tipo de vulnerabilidade , gravidade e versões AOSP atualizadas (quando aplicável). Quando disponível, vinculamos a alteração pública que tratou do problema ao ID do bug, como a lista de alterações do AOSP. Quando várias alterações se relacionam a um único bug, referências adicionais são vinculadas a números após o ID do bug. Dispositivos com Android 10 e posterior podem receber atualizações de segurança, bem como atualizações do sistema do Google Play .
Estrutura de mídia
A vulnerabilidade nesta seção pode levar à divulgação de informações locais sem a necessidade de privilégios de execução adicionais.
CVE | Referências | Modelo | Gravidade | Versões AOSP atualizadas |
---|---|---|---|---|
CVE-2022-20353 | A-221041256 | EU IRIA | Alto | 10, 11 |
Aplicativos de plataforma
A vulnerabilidade mais grave nesta seção pode levar à escalação local de privilégios sem a necessidade de privilégios de execução adicionais.
CVE | Referências | Modelo | Gravidade | Versões AOSP atualizadas |
---|---|---|---|---|
CVE-2021-39738 | A-216190509 | EoP | Alto | 10, 11, 12, 12L |
CVE-2022-20425 | A-255830464 | DoS | Alto | 10, 11 |
Detalhes adicionais da vulnerabilidade
A seção abaixo fornece detalhes para vulnerabilidades de segurança que estão sendo fornecidas para fins de divulgação. Esses problemas não são necessários para conformidade com SPL.
Aplicativos de plataforma
CVE | Referências | Modelo | Gravidade | Versões AOSP atualizadas |
---|---|---|---|---|
CVE-2022-20213 | A-183410508 | DoS | Moderado | 10, 11, 12 |
CVE-2022-20215 | A-183794206 | DoS | Moderado | 10, 11, 12 |
CVE-2022-20214 | A-183411210 | EoP | Baixo | 10, 11, 12 |
IU do sistema
CVE | Referências | Modelo | Gravidade | Versões AOSP atualizadas |
---|---|---|---|---|
CVE-2022-20458 | A-205567776 | EoP | Moderado | 12L |
Componentes do Kernel
CVE | Referências | Modelo | Gravidade | Subcomponente |
---|---|---|---|---|
CVE-2022-28389 | A-228694270 kernel upstream | EoP | Moderado | Driver de barramento USB CAN |
Perguntas e respostas comuns
Esta seção responde a perguntas comuns que podem ocorrer após a leitura deste boletim.
1. Como determino se meu dispositivo está atualizado para resolver esses problemas?
Para saber como verificar o nível do patch de segurança de um dispositivo, leia as instruções no cronograma de atualização de dispositivos do Google .
- Os níveis de patch de segurança de 2023-01-01 ou posteriores abordam todos os problemas associados ao nível de patch de segurança 2023-01-01.
Os fabricantes de dispositivos que incluem essas atualizações devem definir o nível da cadeia de correção para:
- [ro.build.version.security_patch]:[2023-01-01]
Para alguns dispositivos com Android 10 ou posterior, a atualização do sistema do Google Play terá uma string de data que corresponde ao nível do patch de segurança 2023-01-01. Consulte este artigo para obter mais detalhes sobre como instalar atualizações de segurança.
2. O que significam as entradas na coluna Tipo ?
As entradas na coluna Tipo da tabela de detalhes da vulnerabilidade fazem referência à classificação da vulnerabilidade de segurança.
Abreviação | Definição |
---|---|
RCE | Execução remota de código |
EoP | Elevação de privilégio |
EU IRIA | Divulgação de informação |
DoS | Negação de serviço |
N / D | Classificação não disponível |
3. O que significam as entradas na coluna Referências ?
As entradas na coluna Referências da tabela de detalhes da vulnerabilidade podem conter um prefixo que identifica a organização à qual o valor de referência pertence.
Prefixo | Referência |
---|---|
UMA- | ID do bug do Android |
CQ- | Número de referência da Qualcomm |
M- | Número de referência da MediaTek |
N- | Número de referência da NVIDIA |
B- | Número de referência Broadcom |
VOCÊ- | Número de referência UNISOC |
4. O que significa um * ao lado do ID do bug do Android na coluna Referências ?
Os problemas que não estão disponíveis publicamente têm um * ao lado do ID de referência correspondente. A atualização para esse problema geralmente está contida nos drivers binários mais recentes para dispositivos Pixel disponíveis no site do desenvolvedor do Google .
5. Por que as vulnerabilidades de segurança são divididas entre este boletim e os boletins de segurança de dispositivos/parceiros, como o boletim Pixel?
As vulnerabilidades de segurança documentadas neste boletim de segurança são necessárias para declarar o nível de patch de segurança mais recente em dispositivos Android. Vulnerabilidades de segurança adicionais documentadas nos boletins de segurança do dispositivo/parceiro não são necessárias para declarar um nível de patch de segurança. Os fabricantes de dispositivos e chipsets Android também podem publicar detalhes de vulnerabilidades de segurança específicos de seus produtos, como Google , Huawei , LGE , Motorola , Nokia ou Samsung .
6. Por que este boletim tem dois níveis de patch de segurança?
Este boletim tem dois níveis de patch de segurança para que os parceiros Android tenham a flexibilidade de corrigir um subconjunto de vulnerabilidades semelhantes em todos os dispositivos Android mais rapidamente. Parceiros Android são encorajados a corrigir todos os problemas neste boletim e usar o nível de patch de segurança mais recente.
- Os dispositivos que usam o nível de patch de segurança 2023-01-01 devem incluir todos os problemas associados a esse nível de patch de segurança, bem como correções para todos os problemas relatados em boletins de segurança anteriores.
Os parceiros são incentivados a agrupar as correções para todos os problemas que estão abordando em uma única atualização.
Versões
Versão | Encontro | Notas |
---|---|---|
1,0 | 3 de janeiro de 2022 | Boletim Publicado |
O boletim de atualização do Android Automotive OS (AAOS) contém detalhes de vulnerabilidades de segurança que afetam a plataforma Android Automotive OS. A atualização completa do AAOS inclui o nível de patch de segurança de 2023-01-05 ou posterior do Boletim de segurança do Android de janeiro de 2023 , além de todos os problemas neste boletim.
Incentivamos todos os clientes a aceitar essas atualizações em seus dispositivos.
O mais grave desses problemas é uma alta vulnerabilidade de segurança no componente Platform Apps que pode levar à escalação local de privilégios sem a necessidade de privilégios de execução adicionais. A avaliação da gravidade é baseada no efeito que a exploração da vulnerabilidade possivelmente teria em um dispositivo afetado, supondo que as atenuações de plataforma e serviço sejam desativadas para fins de desenvolvimento ou se forem contornadas com êxito.
Anúncios
- Além das vulnerabilidades de segurança descritas no Boletim de segurança do Android de janeiro de 2023, o Boletim de atualização do sistema operacional Android Automotive de janeiro de 2023 também contém patches especificamente para vulnerabilidades AAOS, conforme descrito abaixo.
2023-01-01 detalhes da vulnerabilidade no nível do patch de segurança
Nas seções abaixo, fornecemos detalhes para cada uma das vulnerabilidades de segurança que se aplicam ao nível de patch 2023-01-01. As vulnerabilidades são agrupadas sob o componente que afetam. Os problemas são descritos nas tabelas abaixo e incluem ID CVE, referências associadas, tipo de vulnerabilidade , gravidade e versões AOSP atualizadas (quando aplicável). Quando disponível, vinculamos a alteração pública que tratou do problema ao ID do bug, como a lista de alterações do AOSP. Quando várias alterações se relacionam a um único bug, referências adicionais são vinculadas a números após o ID do bug. Dispositivos com Android 10 e posterior podem receber atualizações de segurança, bem como atualizações do sistema do Google Play .
Estrutura de mídia
A vulnerabilidade nesta seção pode levar à divulgação de informações locais sem a necessidade de privilégios de execução adicionais.
CVE | Referências | Modelo | Gravidade | Versões AOSP atualizadas |
---|---|---|---|---|
CVE-2022-20353 | A-221041256 | EU IRIA | Alto | 10, 11 |
Aplicativos de plataforma
A vulnerabilidade mais grave nesta seção pode levar à escalação local de privilégios sem a necessidade de privilégios de execução adicionais.
CVE | Referências | Modelo | Gravidade | Versões AOSP atualizadas |
---|---|---|---|---|
CVE-2021-39738 | A-216190509 | EoP | Alto | 10, 11, 12, 12L |
CVE-2022-20425 | A-255830464 | DoS | Alto | 10, 11 |
Detalhes adicionais da vulnerabilidade
A seção abaixo fornece detalhes para vulnerabilidades de segurança que estão sendo fornecidas para fins de divulgação. Esses problemas não são necessários para conformidade com SPL.
Aplicativos de plataforma
CVE | Referências | Modelo | Gravidade | Versões AOSP atualizadas |
---|---|---|---|---|
CVE-2022-20213 | A-183410508 | DoS | Moderado | 10, 11, 12 |
CVE-2022-20215 | A-183794206 | DoS | Moderado | 10, 11, 12 |
CVE-2022-20214 | A-183411210 | EoP | Baixo | 10, 11, 12 |
IU do sistema
CVE | Referências | Modelo | Gravidade | Versões AOSP atualizadas |
---|---|---|---|---|
CVE-2022-20458 | A-205567776 | EoP | Moderado | 12L |
Componentes do Kernel
CVE | Referências | Modelo | Gravidade | Subcomponente |
---|---|---|---|---|
CVE-2022-28389 | A-228694270 kernel upstream | EoP | Moderado | Driver de barramento USB CAN |
Perguntas e respostas comuns
Esta seção responde a perguntas comuns que podem ocorrer após a leitura deste boletim.
1. Como determino se meu dispositivo está atualizado para resolver esses problemas?
Para saber como verificar o nível do patch de segurança de um dispositivo, leia as instruções no cronograma de atualização de dispositivos do Google .
- Os níveis de patch de segurança de 2023-01-01 ou posteriores abordam todos os problemas associados ao nível de patch de segurança 2023-01-01.
Os fabricantes de dispositivos que incluem essas atualizações devem definir o nível da cadeia de correção para:
- [ro.build.version.security_patch]:[2023-01-01]
Para alguns dispositivos com Android 10 ou posterior, a atualização do sistema do Google Play terá uma string de data que corresponde ao nível do patch de segurança 2023-01-01. Consulte este artigo para obter mais detalhes sobre como instalar atualizações de segurança.
2. O que significam as entradas na coluna Tipo ?
As entradas na coluna Tipo da tabela de detalhes da vulnerabilidade fazem referência à classificação da vulnerabilidade de segurança.
Abreviação | Definição |
---|---|
RCE | Execução remota de código |
EoP | Elevação de privilégio |
EU IRIA | Divulgação de informação |
DoS | Negação de serviço |
N / D | Classificação não disponível |
3. O que significam as entradas na coluna Referências ?
As entradas na coluna Referências da tabela de detalhes da vulnerabilidade podem conter um prefixo que identifica a organização à qual o valor de referência pertence.
Prefixo | Referência |
---|---|
UMA- | ID do bug do Android |
CQ- | Número de referência da Qualcomm |
M- | Número de referência da MediaTek |
N- | Número de referência da NVIDIA |
B- | Número de referência Broadcom |
VOCÊ- | Número de referência UNISOC |
4. O que significa um * ao lado do ID do bug do Android na coluna Referências ?
Os problemas que não estão disponíveis publicamente têm um * ao lado do ID de referência correspondente. A atualização para esse problema geralmente está contida nos drivers binários mais recentes para dispositivos Pixel disponíveis no site do desenvolvedor do Google .
5. Por que as vulnerabilidades de segurança são divididas entre este boletim e os boletins de segurança de dispositivos/parceiros, como o boletim Pixel?
As vulnerabilidades de segurança documentadas neste boletim de segurança são necessárias para declarar o nível de patch de segurança mais recente em dispositivos Android. Vulnerabilidades de segurança adicionais documentadas nos boletins de segurança do dispositivo/parceiro não são necessárias para declarar um nível de patch de segurança. Os fabricantes de dispositivos e chipsets Android também podem publicar detalhes de vulnerabilidades de segurança específicos de seus produtos, como Google , Huawei , LGE , Motorola , Nokia ou Samsung .
6. Por que este boletim tem dois níveis de patch de segurança?
Este boletim tem dois níveis de patch de segurança para que os parceiros Android tenham a flexibilidade de corrigir um subconjunto de vulnerabilidades semelhantes em todos os dispositivos Android mais rapidamente. Parceiros Android são encorajados a corrigir todos os problemas neste boletim e usar o nível de patch de segurança mais recente.
- Os dispositivos que usam o nível de patch de segurança 2023-01-01 devem incluir todos os problemas associados a esse nível de patch de segurança, bem como correções para todos os problemas relatados em boletins de segurança anteriores.
Os parceiros são incentivados a agrupar as correções para todos os problemas que estão abordando em uma única atualização.
Versões
Versão | Encontro | Notas |
---|---|---|
1,0 | 3 de janeiro de 2022 | Boletim Publicado |