Diese Versionshinweise zur Android-Sicherheit enthalten Einzelheiten zu Sicherheitslücken, die Android-Geräte betreffen und im Rahmen von Android 12L behoben werden. Android 12L-Geräte mit einem Sicherheitspatch-Level vom 01.03.2022 oder höher sind vor diesen Problemen geschützt (Android 12L, wie auf AOSP veröffentlicht, verfügt über einen Standard-Sicherheitspatch-Level vom 01.03.2022). Informationen zum Überprüfen des Sicherheitspatch-Levels eines Geräts finden Sie unter Überprüfen und Aktualisieren Ihrer Android-Version .
Android-Partner werden vor der Veröffentlichung über alle Probleme informiert. Quellcode-Patches für diese Probleme werden im Rahmen der Android 12L-Version im Android Open Source Project (AOSP)-Repository veröffentlicht.
Die Schweregradbewertung der Probleme in diesen Versionshinweisen basiert auf den Auswirkungen, die das Ausnutzen der Sicherheitslücke möglicherweise auf ein betroffenes Gerät hätte, vorausgesetzt, dass die Plattform- und Dienstminderungsmaßnahmen für Entwicklungszwecke deaktiviert oder erfolgreich umgangen werden.
Uns liegen keine Berichte über eine aktive Ausbeutung oder einen Missbrauch dieser neu gemeldeten Probleme durch Kunden vor. Weitere Informationen zum Schutz der Android-Sicherheitsplattform und zu Google Play Protect, die die Sicherheit der Android-Plattform verbessern, finden Sie im Abschnitt „Abhilfemaßnahmen für Android und Google Play Protect“.
Ankündigungen
- Die in diesem Dokument beschriebenen Probleme werden im Rahmen von Android 12L behoben. Diese Informationen dienen als Referenz und Transparenz.
- Wir möchten der Sicherheitsforschungsgemeinschaft für ihre kontinuierlichen Beiträge zur Sicherung des Android-Ökosystems danken .
Abhilfemaßnahmen für Android- und Google-Dienste
Dies ist eine Zusammenfassung der Abhilfemaßnahmen, die die Android-Sicherheitsplattform und Dienstschutzmaßnahmen wie Google Play Protect bieten. Diese Funktionen verringern die Wahrscheinlichkeit, dass Sicherheitslücken auf Android erfolgreich ausgenutzt werden können.
- Die Ausnutzung vieler Probleme auf Android wird durch Verbesserungen in neueren Versionen der Android-Plattform erschwert. Wir empfehlen allen Benutzern, nach Möglichkeit auf die neueste Android-Version zu aktualisieren.
- Das Android-Sicherheitsteam überwacht Google Play Protect aktiv auf Missbrauch und warnt Benutzer vor potenziell schädlichen Anwendungen . Google Play Protect ist auf Geräten mit Google Mobile Services standardmäßig aktiviert und besonders wichtig für Benutzer, die Apps von außerhalb von Google Play installieren.
Details zur Sicherheitslücke in Android 12L
Die folgenden Abschnitte enthalten Details zu Sicherheitslücken, die im Rahmen von Android 12L behoben wurden. Schwachstellen werden unter der Komponente gruppiert, die sie betreffen, und enthalten Details wie CVE, zugehörige Referenzen, Art der Schwachstelle und Schweregrad .
Rahmen
| CVE | Verweise | Typ | Schwere |
|---|---|---|---|
| CVE-2021-39749 | A-205996115 | EoP | Hoch |
| CVE-2021-39743 | A-201534884 | EoP | Mäßig |
| CVE-2021-39746 | A-194696395 | EoP | Mäßig |
| CVE-2021-39750 | A-206474016 | EoP | Mäßig |
| CVE-2021-39752 | A-202756848 | EoP | Mäßig |
| CVE-2022-20002 | A-198657657 | EoP | Mäßig |
| CVE-2022-20203 | A-199745908 | EoP | Mäßig |
| CVE-2021-39744 | A-192369136 | AUSWEIS | Mäßig |
| CVE-2021-39745 | A-206127671 | AUSWEIS | Mäßig |
| CVE-2021-39747 | A-208268457 | AUSWEIS | Mäßig |
| CVE-2021-39748 | A-203777141 | AUSWEIS | Mäßig |
| CVE-2021-39751 | A-172838801 | AUSWEIS | Mäßig |
| CVE-2021-39753 | A-200035185 | AUSWEIS | Mäßig |
| CVE-2021-39755 | A-204995407 | AUSWEIS | Mäßig |
| CVE-2021-39756 | A-184354287 | AUSWEIS | Mäßig |
| CVE-2021-39757 | A-176094662 | AUSWEIS | Mäßig |
| CVE-2021-39754 | A-207133709 | Unbekannt | Unbekannt |
Medien-Framework
| CVE | Verweise | Typ | Schwere |
|---|---|---|---|
| CVE-2021-39759 | A-180200830 | EoP | Mäßig |
| CVE-2021-39760 | A-194110526 | AUSWEIS | Mäßig |
| CVE-2021-39761 | A-179783181 | AUSWEIS | Mäßig |
| CVE-2021-39762 | A-210625816 | AUSWEIS | Mäßig |
Plattform
| CVE | Verweise | Typ | Schwere |
|---|---|---|---|
| CVE-2021-39741 | A-173567719 | EoP | Mäßig |
| CVE-2021-39763 | A-199176115 | EoP | Mäßig |
| CVE-2021-39764 | A-170642995 | EoP | Mäßig |
| CVE-2021-39767 | A-201308542 | EoP | Mäßig |
| CVE-2021-39768 | A-202017876 | EoP | Mäßig |
| CVE-2021-39771 | A-198661951 | EoP | Mäßig |
| CVE-2021-25393 | A-180518134 | AUSWEIS | Mäßig |
| CVE-2021-39739 | A-184525194 | AUSWEIS | Mäßig |
| CVE-2021-39740 | A-209965112 | AUSWEIS | Mäßig |
| CVE-2021-39742 | A-186405602 | AUSWEIS | Mäßig |
| CVE-2021-39765 | A-201535427 | AUSWEIS | Mäßig |
| CVE-2021-39766 | A-198296421 | AUSWEIS | Mäßig |
| CVE-2021-39769 | A-193663287 | AUSWEIS | Mäßig |
| CVE-2021-39770 | A-193033501 | AUSWEIS | Mäßig |
System
| CVE | Verweise | Typ | Schwere |
|---|---|---|---|
| CVE-2021-39776 | A-192614125 | EoP | Hoch |
| CVE-2021-39787 | A-202506934 | EoP | Hoch |
| CVE-2021-39772 | A-181962322 | EoP | Mäßig |
| CVE-2021-39780 | A-204992293 | EoP | Mäßig |
| CVE-2021-39781 | A-195311502 | EoP | Mäßig |
| CVE-2021-39782 | A-202760015 | EoP | Mäßig |
| CVE-2021-39783 | A-197960597 | EoP | Mäßig |
| CVE-2021-39784 | A-200163477 | EoP | Mäßig |
| CVE-2021-39786 | A-192551247 | EoP | Mäßig |
| CVE-2021-39789 | A-203880906 | EoP | Mäßig |
| CVE-2021-39790 | A-186405146 | EoP | Mäßig |
| CVE-2021-39773 | A-191276656 | AUSWEIS | Mäßig |
| CVE-2021-39775 | A-206465854 | AUSWEIS | Mäßig |
| CVE-2021-39777 | A-194743207 | AUSWEIS | Mäßig |
| CVE-2021-39778 | A-196406138 | AUSWEIS | Mäßig |
| CVE-2021-39779 | A-190400974 | AUSWEIS | Mäßig |
| CVE-2021-39788 | A-191768014 | AUSWEIS | Mäßig |
| CVE-2021-39791 | A-194112606 | AUSWEIS | Mäßig |
| CVE-2021-39774 | A-205989472 | DOS | Mäßig |
Zusätzliche Details zur Sicherheitslücke
Der folgende Abschnitt enthält Einzelheiten zu Sicherheitslücken, die zu Offenlegungszwecken bereitgestellt werden. Diese Probleme sind für die SPL-Konformität nicht erforderlich.
Android-TV
| CVE | Verweise | Typ | Schwere |
|---|---|---|---|
| CVE-2021-1000 | A-185190688 | EoP | Mäßig |
| CVE-2021-1033 | A-185247656 | EoP | Mäßig |
Häufige Fragen und Antworten
In diesem Abschnitt werden häufige Fragen beantwortet, die nach dem Lesen dieses Bulletins auftreten können.
1. Wie kann ich feststellen, ob mein Gerät aktualisiert wurde, um diese Probleme zu beheben?
Informationen zum Überprüfen des Sicherheitspatch-Levels eines Geräts finden Sie unter Überprüfen und Aktualisieren Ihrer Android-Version .
Für Android 12L, wie es auf AOSP veröffentlicht wurde, gilt standardmäßig die Sicherheitspatch-Stufe 2022-03-01. Android-Geräte mit Android 12L und einem Sicherheitspatch-Level von 2022-03-01 oder höher beheben alle in diesen Sicherheitsversionshinweisen enthaltenen Probleme.
2. Was bedeuten die Einträge in der Spalte Typ ?
Einträge in der Spalte „Typ“ der Tabelle mit den Schwachstellendetails verweisen auf die Klassifizierung der Sicherheitslücke.
| Abkürzung | Definition |
|---|---|
| RCE | Remote-Codeausführung |
| EoP | Erhöhung der Privilegien |
| AUSWEIS | Offenlegung von Informationen |
| DOS | Denial of Service |
| N / A | Klassifizierung nicht verfügbar |
3. Was bedeuten die Einträge in der Spalte „Referenzen“ ?
Einträge in der Spalte „Referenzen“ der Tabelle mit den Schwachstellendetails können ein Präfix enthalten, das die Organisation identifiziert, zu der der Referenzwert gehört.
| Präfix | Referenz |
|---|---|
| A- | Android-Fehler-ID |
Versionen
| Ausführung | Datum | Anmerkungen |
|---|---|---|
| 1,0 | 22. Februar 2022 | Sicherheitsversionshinweise veröffentlicht |
| 1.1 | 27. Mai 2022 | Aktualisierte Problemliste |
| 1.2 | 8. September 2022 | Aktualisierte Problemliste |