В этих примечаниях к выпуску содержится информация об уязвимостях в защите, исправленных в Android 12L. Все перечисленные здесь проблемы устранены на устройствах с Android 12L, где установлено исправление системы безопасности 2022-03-01 или более новое (исправление 2022-03-01 по умолчанию используется в версии Android 12L, опубликованной на сайте AOSP). Информацию о том, как проверить уровень исправления системы безопасности на устройстве, можно найти в статье об обновлении версии Android.
Мы сообщаем партнерам Android обо всех проблемах до публикации бюллетеней. Исправления для устранения указанных уязвимостей в исходном коде будут добавлены в хранилище Android Open Source Project (AOSP) в рамках выпуска Android 12L.
Уровень серьезности, указанный в этих примечаниях к выпуску, зависит от того, какой ущерб может быть нанесен устройству, если злоумышленник воспользуется уязвимостью и сможет обойти средства защиты или если эти средства отключит разработчик.
У нас нет информации о том, что обнаруженные уязвимости эксплуатировались. Сведения о том, как платформа безопасности Android и Google Play Защита помогают снизить вероятность успешного использования уязвимостей Android, можно найти в разделе Предотвращение атак.
Объявления
- Проблемы, описанные в этом документе, устранены в Android 12L. Сведения о них предоставлены для справки и обеспечения информационной прозрачности.
- Мы благодарим исследователей в области безопасности за их непрерывную работу, которая помогает обеспечить защиту экосистемы Android.
Предотвращение атак
Здесь описано, как платформа безопасности Android и средства защиты сервисов, например Google Play Защита, позволяют снизить вероятность атак на Android.
- В новых версиях Android сложнее использовать многие уязвимости, поэтому мы рекомендуем своевременно обновлять систему.
- Команда, отвечающая за безопасность Android, активно отслеживает с помощью Google Play Защиты случаи злоупотребления и предупреждает пользователей об установке потенциально опасных приложений. Google Play Защита по умолчанию включена на телефонах и планшетах, использующих сервисы Google для мобильных устройств. Она особенно важна для тех, кто устанавливает приложения не из Google Play.
Описание уязвимостей Android 12L
В этом разделе вы найдете подробную информацию обо всех уязвимостях, устраненных в Android 12L. Проблемы сгруппированы по компонентам, которые они затрагивают. Для каждого случая указаны CVE, ссылки, тип уязвимости и уровень серьезности.
Framework
| CVE | Ссылки | Тип | Уровень серьезности |
|---|---|---|---|
| CVE-2021-39749 | A-205996115 | EoP | Высокий |
| CVE-2021-39743 | A-201534884 | EoP | Средний |
| CVE-2021-39746 | A-194696395 | EoP | Средний |
| CVE-2021-39750 | A-206474016 | EoP | Средний |
| CVE-2021-39752 | A-202756848 | EoP | Средний |
| CVE-2022-20002 | A-198657657 | EoP | Средний |
| CVE-2022-20203 | A-199745908 | EoP | Средний |
| CVE-2021-39744 | A-192369136 | ID | Средний |
| CVE-2021-39745 | A-206127671 | ID | Средний |
| CVE-2021-39747 | A-208268457 | ID | Средний |
| CVE-2021-39748 | A-203777141 | ID | Средний |
| CVE-2021-39751 | A-172838801 | ID | Средний |
| CVE-2021-39753 | A-200035185 | ID | Средний |
| CVE-2021-39755 | A-204995407 | ID | Средний |
| CVE-2021-39756 | A-184354287 | ID | Средний |
| CVE-2021-39757 | A-176094662 | ID | Средний |
| CVE-2021-39754 | A-207133709 | Неизвестно | Неизвестно |
Media Framework
| CVE | Ссылки | Тип | Уровень серьезности |
|---|---|---|---|
| CVE-2021-39759 | A-180200830 | EoP | Средний |
| CVE-2021-39760 | A-194110526 | ID | Средний |
| CVE-2021-39761 | A-179783181 | ID | Средний |
| CVE-2021-39762 | A-210625816 | ID | Средний |
Платформа
| CVE | Ссылки | Тип | Уровень серьезности |
|---|---|---|---|
| CVE-2021-39741 | A-173567719 | EoP | Средний |
| CVE-2021-39763 | A-199176115 | EoP | Средний |
| CVE-2021-39764 | A-170642995 | EoP | Средний |
| CVE-2021-39767 | A-201308542 | EoP | Средний |
| CVE-2021-39768 | A-202017876 | EoP | Средний |
| CVE-2021-39771 | A-198661951 | EoP | Средний |
| CVE-2021-25393 | A-180518134 | ID | Средний |
| CVE-2021-39739 | A-184525194 | ID | Средний |
| CVE-2021-39740 | A-209965112 | ID | Средний |
| CVE-2021-39742 | A-186405602 | ID | Средний |
| CVE-2021-39765 | A-201535427 | ID | Средний |
| CVE-2021-39766 | A-198296421 | ID | Средний |
| CVE-2021-39769 | A-193663287 | ID | Средний |
| CVE-2021-39770 | A-193033501 | ID | Средний |
Система
| CVE | Ссылки | Тип | Уровень серьезности |
|---|---|---|---|
| CVE-2021-39776 | A-192614125 | EoP | Высокий |
| CVE-2021-39787 | A-202506934 | EoP | Высокий |
| CVE-2021-39772 | A-181962322 | EoP | Средний |
| CVE-2021-39780 | A-204992293 | EoP | Средний |
| CVE-2021-39781 | A-195311502 | EoP | Средний |
| CVE-2021-39782 | A-202760015 | EoP | Средний |
| CVE-2021-39783 | A-197960597 | EoP | Средний |
| CVE-2021-39784 | A-200163477 | EoP | Средний |
| CVE-2021-39786 | A-192551247 | EoP | Средний |
| CVE-2021-39789 | A-203880906 | EoP | Средний |
| CVE-2021-39790 | A-186405146 | EoP | Средний |
| CVE-2021-39773 | A-191276656 | ID | Средний |
| CVE-2021-39775 | A-206465854 | ID | Средний |
| CVE-2021-39777 | A-194743207 | ID | Средний |
| CVE-2021-39778 | A-196406138 | ID | Средний |
| CVE-2021-39779 | A-190400974 | ID | Средний |
| CVE-2021-39788 | A-191768014 | ID | Средний |
| CVE-2021-39791 | A-194112606 | ID | Средний |
| CVE-2021-39774 | A-205989472 | DoS | Средний |
Дополнительные сведения об уязвимостях
В этом разделе представлена информация об уязвимостях в защите, которые необязательно устранять для соответствия последнему исправлению системы безопасности.
Android TV
| CVE | Ссылки | Тип | Уровень серьезности |
|---|---|---|---|
| CVE-2021-1000 | A-185190688 | EoP | Средний |
| CVE-2021-1033 | A-185247656 | EoP | Средний |
Часто задаваемые вопросы
В этом разделе мы отвечаем на вопросы, которые могут возникнуть после прочтения бюллетеня.
1. Как определить, установлено ли на устройстве обновление, в котором устранены перечисленные проблемы?
Информацию о том, как проверить уровень исправления системы безопасности на устройстве, можно найти в статье об обновлении версии Android.
В версии Android 12L, опубликованной на сайте AOSP, по умолчанию используется исправление системы безопасности 2022-03-01. На устройствах Android 12L с исправлением 2022-03-01 или более новым устранены все уязвимости, описанные в этих примечаниях к выпуску.
2. Что означают сокращения в столбце Тип?
В этом столбце указан тип уязвимости по следующей классификации:
| Сокращение | Описание |
|---|---|
| RCE | Удаленное выполнение кода |
| EoP | Повышение привилегий |
| ID | Раскрытие информации |
| DoS | Отказ в обслуживании |
| Н/Д | Классификация недоступна |
3. Что означает информация в столбце Ссылки?
В таблицах с описанием уязвимостей есть столбец Ссылки. Каждая запись в нем может содержать префикс, указывающий на источник ссылки, а именно:
| Префикс | Значение |
|---|---|
| A- | Идентификатор ошибки Android |
Версии
| Версия | Дата | Примечания |
|---|---|---|
| 1.0 | 22 февраля 2022 г. | Опубликованы примечания о безопасности к выпуску. |
| 1.1 | 27 мая 2022 г. | Обновлен список проблем. |
| 1.2 | 8 сентября 2022 г. | Обновлен список проблем. |