این یادداشتهای انتشار امنیتی اندروید شامل جزئیاتی از آسیبپذیریهای امنیتی مؤثر بر دستگاههای اندروید است که به عنوان بخشی از اندروید ۱۳ برطرف شدهاند. دستگاههای اندروید ۱۳ با سطح وصله امنیتی ۲۰۲۲-۰۹-۰۱ یا بالاتر در برابر این مشکلات محافظت میشوند (اندروید ۱۳، همانطور که در AOSP منتشر شده است، دارای سطح وصله امنیتی پیشفرض ۲۰۲۲-۰۹-۰۱ خواهد بود). برای یادگیری نحوه بررسی سطح وصله امنیتی دستگاه، به بخش «بررسی و بهروزرسانی نسخه اندروید» مراجعه کنید.
شرکای اندروید قبل از انتشار از تمام مشکلات مطلع میشوند. وصلههای کد منبع برای این مشکلات به عنوان بخشی از نسخه اندروید ۱۳ در مخزن پروژه متنباز اندروید (AOSP) منتشر خواهد شد.
ارزیابی شدت مشکلات در این یادداشتهای انتشار، بر اساس تأثیری است که بهرهبرداری از این آسیبپذیری میتواند بر روی دستگاه آسیبدیده داشته باشد، با فرض اینکه اقدامات کاهش آسیبپذیری پلتفرم و سرویس برای اهداف توسعه غیرفعال شده باشند یا با موفقیت دور زده شوند.
ما هیچ گزارشی مبنی بر سوءاستفاده یا بهرهبرداری فعال مشتریان از این مشکلات تازه گزارششده نداشتهایم. برای جزئیات بیشتر در مورد محافظتهای پلتفرم امنیتی اندروید و Google Play Protect که امنیت پلتفرم اندروید را بهبود میبخشند، به بخش راهکارهای کاهش آسیبپذیری Android و Google Play Protect مراجعه کنید.
اطلاعیهها
- مشکلات شرح داده شده در این سند به عنوان بخشی از اندروید ۱۳ مورد بررسی قرار گرفتهاند. این اطلاعات برای مرجع و شفافیت ارائه شده است.
- ما مایلیم از جامعهی تحقیقات امنیتی به خاطر مشارکتهای مستمرشان در جهت ایمنسازی اکوسیستم اندروید، قدردانی و تشکر کنیم .
راهکارهای کاهش خطرات اندروید و سرویسهای گوگل
این خلاصهای از راهکارهای کاهش خطرات ارائه شده توسط پلتفرم امنیتی اندروید و سرویسهای محافظتی مانند Google Play Protect است. این قابلیتها احتمال سوءاستفاده موفقیتآمیز از آسیبپذیریهای امنیتی در اندروید را کاهش میدهند.
- سوءاستفاده از بسیاری از مشکلات در اندروید با پیشرفتهای نسخههای جدیدتر پلتفرم اندروید دشوارتر شده است. ما به همه کاربران توصیه میکنیم در صورت امکان، آخرین نسخه اندروید را بهروزرسانی کنند.
- تیم امنیتی اندروید به طور فعال از طریق Google Play Protect سوءاستفادهها را رصد میکند و به کاربران در مورد برنامههای بالقوه مضر هشدار میدهد. Google Play Protect به طور پیشفرض در دستگاههایی با سرویسهای موبایل گوگل فعال است و به ویژه برای کاربرانی که برنامهها را از خارج از Google Play نصب میکنند، بسیار مهم است.
جزئیات آسیبپذیری اندروید ۱۳
بخشهای زیر جزئیات مربوط به آسیبپذیریهای امنیتی رفعشده به عنوان بخشی از اندروید ۱۳ را ارائه میدهند. آسیبپذیریها تحت مؤلفهای که تحت تأثیر قرار میدهند گروهبندی میشوند و شامل جزئیاتی مانند CVE، منابع مرتبط، نوع آسیبپذیری و شدت آن میشوند.
زمان اجرای اندروید
| سی وی ای | منابع | نوع | شدت |
|---|---|---|---|
| CVE-2013-0340 | الف-۲۴۹۰۱۲۷۶ | داس | متوسط |
چارچوب
| سی وی ای | منابع | نوع | شدت |
|---|---|---|---|
| CVE-2022-20266 | الف-۲۱۱۷۵۷۳۴۸ | ای او پی | بالا |
| CVE-2022-20301 | الف-۲۰۹۵۶۶۱۴ | ای او پی | بالا |
| CVE-2022-20305 | الف-۱۹۹۷۵۱۶۲۳ | ای او پی | بالا |
| CVE-2022-20443 | الف-۱۹۴۴۸۰۹۹۱ | ای او پی | بالا |
| CVE-2022-20270 | الف-۲۰۹۰۰۵۰۲۳۳ | شناسه | بالا |
| CVE-2022-20294 | الف-۲۰۲۱۶۰۷۰۵ | شناسه | بالا |
| CVE-2022-20295 | الف-۲۰۲۱۶۰۵۸۴ | شناسه | بالا |
| CVE-2022-20296 | الف-۲۰۱۷۹۴۳۰۳ | شناسه | بالا |
| CVE-2022-20298 | الف-۲۰۱۴۱۶۱۸۲ | شناسه | بالا |
| CVE-2022-20299 | الف-۲۰۱۴۱۵۸۹۵ | شناسه | بالا |
| CVE-2022-20300 | الف-۲۰۹۵۶۵۸۸ | شناسه | بالا |
| CVE-2022-20303 | الف-۲۰۰۵۷۳۰۲۱ | شناسه | بالا |
| CVE-2022-20304 | الف-۱۹۹۷۵۱۹۱۹ | شناسه | بالا |
| CVE-2022-20260 | الف-۲۲۰۸۶۵۶۹۸ | داس | بالا |
| CVE-2022-20246 | الف-۲۳۰۴۹۳۱۹۱ | ای او پی | متوسط |
| CVE-2022-20250 | الف-۲۲۶۱۳۴۰۹۵۵ | ای او پی | متوسط |
| CVE-2022-20255 | الف-۲۲۲۶۸۷۲۱۷ | ای او پی | متوسط |
| CVE-2022-20268 | الف-۲۱۰۴۶۸۸۸۳۶ | ای او پی | متوسط |
| CVE-2022-20271 | الف-۲۰۷۶۷۲۶۳۵ | ای او پی | متوسط |
| CVE-2022-20278 | الف-۲۰۵۱۳۰۱۱۳ | ای او پی | متوسط |
| CVE-2022-20281 | الف-۲۰۴۰۸۳۹۶۷ | ای او پی | متوسط |
| CVE-2022-20282 | الف-۲۰۴۰۸۳۱۰۴ | ای او پی | متوسط |
| CVE-2022-20312 | الف-۱۹۲۲۴۴۹۲۵ | ای او پی | متوسط |
| CVE-2022-20331 | الف-۱۸۱۷۸۵۵۵۵۷ | ای او پی | متوسط |
| CVE-2021-0734 | الف-۱۸۹۱۲۲۹۱۱ | شناسه | متوسط |
| CVE-2021-0735 | الف-۱۸۸۹۱۳۰۵۶ | شناسه | متوسط |
| CVE-2021-0975 | الف-۱۸۰۱۰۴۲۷۳ | شناسه | متوسط |
| CVE-2022-20243 | الف-۱۹۰۱۹۹۸۶ | شناسه | متوسط |
| CVE-2022-20249 | الف-۲۲۶۹۰۰۸۶۱ | شناسه | متوسط |
| CVE-2022-20252 | الف-۲۲۴۵۴۷۵۸۴ | شناسه | متوسط |
| CVE-2022-20262 | الف-۲۱۸۳۳۸۴۵۳ | شناسه | متوسط |
| CVE-2022-20263 | الف-۲۱۷۹۳۵۲۶۴ | شناسه | متوسط |
| CVE-2022-20272 | الف-۲۰۷۶۷۲۵۶۸ | شناسه | متوسط |
| CVE-2022-20275 | الف-۲۰۵۸۳۶۹۷۵ | شناسه | متوسط |
| CVE-2022-20276 | الف-۲۰۵۷۰۶۷۳۱ | شناسه | متوسط |
| CVE-2022-20277 | الف-۲۰۵۱۴۵۴۹۷ | شناسه | متوسط |
| CVE-2022-20279 | الف-۲۰۴۸۷۷۳۰۲ | شناسه | متوسط |
| CVE-2022-20285 | الف-۲۳۰۸۶۸۱۰۸ | شناسه | متوسط |
| CVE-2022-20287 | الف-۲۰۴۰۸۲۷۸۴ | شناسه | متوسط |
| CVE-2022-20288 | الف-۲۰۴۰۸۲۳۶۰ | شناسه | متوسط |
| CVE-2022-20289 | الف-۲۰۳۶۸۳۹۶ | شناسه | متوسط |
| CVE-2022-20291 | الف-۲۰۳۴۳۰۶۴۸ | شناسه | متوسط |
| CVE-2022-20293 | الف-۲۰۲۲۹۸۶۷۲ | شناسه | متوسط |
| CVE-2022-20307 | الف-۱۹۸۷۸۲۸۸۷ | شناسه | متوسط |
| CVE-2022-20309 | الف-۱۹۴۶۹۴۰۹۴ | شناسه | متوسط |
| CVE-2022-20315 | الف-۱۹۱۰۵۸۲۲۷ | شناسه | متوسط |
| CVE-2022-20316 | الف-۱۹۰۷۲۶۱۲۱ | شناسه | متوسط |
| CVE-2022-20318 | الف-۱۹۴۶۹۴۰۶۹ | شناسه | متوسط |
| CVE-2022-20320 | الف-۱۸۷۹۵۶۵۹۶ | شناسه | متوسط |
| CVE-2022-20324 | الف-۱۸۷۰۴۲۱۲۰ | شناسه | متوسط |
| CVE-2022-20328 | الف-۱۸۴۹۴۸۵۰۱ | شناسه | متوسط |
| CVE-2022-20332 | الف-۱۸۰۰۱۹۱۳۰ | شناسه | متوسط |
| CVE-2022-20336 | الف-۱۷۷۲۳۹۶۸۸ | شناسه | متوسط |
| CVE-2022-20341 | الف-۱۶۲۹۵۲۶۲۹ | شناسه | متوسط |
| CVE-2022-20322 | الف-۱۸۷۱۷۶۹۹۳ | شناسه | کم |
| CVE-2022-20323 | الف-۱۸۷۱۷۶۲۰۳ | شناسه | کم |
چارچوب رسانهای
| سی وی ای | منابع | نوع | شدت |
|---|---|---|---|
| CVE-2022-20290 | الف-۲۰۳۵۴۹۹۶۳ | ای او پی | متوسط |
| CVE-2022-20325 | الف-۱۸۶۴۷۳۰۶۰ | ای او پی | متوسط |
| CVE-2022-20247 | الف-۲۲۹۸۵۸۸۳۶ | شناسه | متوسط |
| CVE-2022-20317 | الف-۱۹۰۱۹۹۰۶۳ | شناسه | متوسط |
بسته
| سی وی ای | منابع | نوع | شدت |
|---|---|---|---|
| CVE-2022-20319 | الف-۱۸۹۵۷۴۲۳۰ | ای او پی | متوسط |
پلتفرم
| سی وی ای | منابع | نوع | شدت |
|---|---|---|---|
| CVE-2022-20302 | الف-۲۰۰۷۴۶۴۵۷ | ای او پی | متوسط |
| CVE-2022-20321 | الف-۱۸۷۱۷۶۸۵۹ | شناسه | متوسط |
پلتفرم
| سی وی ای | منابع | نوع | شدت |
|---|---|---|---|
| CVE-2022-20265 | الف-۲۱۲۸۰۴۸۹۸ | ای او پی | متوسط |
سیستم
| سی وی ای | منابع | نوع | شدت |
|---|---|---|---|
| CVE-2022-20283 | الف-۲۳۳۰۶۹۳۳۶ | آر سی ای | بحرانی |
| CVE-2022-20362 | الف-۲۳۰۷۵۶۰۸۲ | آر سی ای | بحرانی |
| CVE-2022-20292 | الف-۲۰۲۹۷۵۰۴۰ | ای او پی | بالا |
| CVE-2022-20297 | الف-۲۰۱۵۶۱۶۹۹ | ای او پی | بالا |
| CVE-2022-20330 | الف-۱۸۱۹۶۲۵۸۸ | ای او پی | بالا |
| CVE-2021-0518 | الف-۱۷۶۵۴۱۰۱۷ | شناسه | بالا |
| CVE-2022-20245 | الف-۲۱۵۰۰۵۰۱۱ | شناسه | بالا |
| CVE-2022-20259 | الف-۲۲۱۴۳۱۳۹۳ | شناسه | بالا |
| CVE-2022-20284 | الف-۲۳۱۹۸۶۳۴۱ | شناسه | بالا |
| CVE-2022-20326 | الف-۱۸۵۲۳۵۵۲۷ | شناسه | بالا |
| CVE-2022-20327 | الف-۱۸۵۱۲۶۸۱۳ | شناسه | بالا |
| CVE-2022-20339 | الف-۱۷۱۵۷۲۱۴۸ | شناسه | بالا |
| CVE-2022-20244 | الف-۲۰۱۰۸۳۲۴۰ | ای او پی | متوسط |
| CVE-2022-20248 | الف-۲۲۷۶۱۹۱۹۳ | ای او پی | متوسط |
| CVE-2022-20254 | الف-۲۲۳۳۷۷۵۴ | ای او پی | متوسط |
| CVE-2022-20256 | الف-۲۲۲۵۷۲۸۲۱ | ای او پی | متوسط |
| CVE-2022-20257 | الف-۲۲۲۲۸۹۱۱۴ | ای او پی | متوسط |
| CVE-2022-20258 | الف-۲۲۱۸۹۳۰۳ | ای او پی | متوسط |
| CVE-2022-20267 | الف-۲۱۱۶۴۶۸۳۵ | ای او پی | متوسط |
| CVE-2022-20269 | الف-۲۰۹۰۶۲۸۹۸ | ای او پی | متوسط |
| CVE-2022-20274 | الف-۲۰۶۴۷۰۱۴۶ | ای او پی | متوسط |
| CVE-2022-20286 | الف-۲۳۰۸۶۶۰۱۱ | ای او پی | متوسط |
| CVE-2022-20306 | الف-۱۹۹۶۸۰۷۹۴ | ای او پی | متوسط |
| CVE-2022-20313 | الف-۱۹۲۲۰۶۳۲۹ | ای او پی | متوسط |
| CVE-2022-20314 | الف-۱۹۱۸۷۶۱۱۸ | ای او پی | متوسط |
| CVE-2022-20329 | الف-۱۸۳۴۱۰۵۵۶ | ای او پی | متوسط |
| CVE-2022-20335 | الف-۱۷۸۰۱۴۷۲۵ | ای او پی | متوسط |
| CVE-2022-20241 | الف-۲۱۷۱۸۵۰۱۱۱ | شناسه | متوسط |
| CVE-2022-20242 | الف-۲۳۱۹۸۶۲۱۲ | شناسه | متوسط |
| CVE-2022-20251 | الف-۲۲۵۸۸۱۱۶۷ | شناسه | متوسط |
| CVE-2022-20261 | الف-۲۱۹۸۳۵۱۲۵ | شناسه | متوسط |
| CVE-2022-20273 | الف-۲۰۶۴۷۸۰۲۲۲ | شناسه | متوسط |
| CVE-2022-20280 | الف-۲۰۴۱۱۷۲۶۱ | شناسه | متوسط |
| CVE-2022-20310 | الف-۱۹۲۶۶۳۷۹۸ | شناسه | متوسط |
| CVE-2022-20311 | الف-۱۹۲۶۶۳۵۵۳ | شناسه | متوسط |
| CVE-2022-20340 | الف-۱۶۶۲۶۹۵۳۲ | شناسه | متوسط |
| CVE-2022-20342 | الف-۱۴۳۵۳۴۳۲۱ | شناسه | متوسط |
| CVE-2022-20253 | الف-۲۲۴۵۴۵۱۲۵ | داس | متوسط |
| CVE-2022-20308 | الف-۱۹۷۸۷۴۴۵۸ | داس | متوسط |
| CVE-2022-20333 | الف-۱۷۹۱۶۱۶۵۷ | داس | متوسط |
| CVE-2022-20334 | الف-۱۷۸۸۰۰۵۵۲ | داس | متوسط |
سوالات و پاسخهای رایج
این بخش به سوالات متداولی که ممکن است پس از خواندن این بولتن برای شما پیش بیاید، پاسخ میدهد.
۱. چگونه میتوانم تشخیص دهم که آیا دستگاه من برای رفع این مشکلات بهروزرسانی شده است یا خیر؟
برای آشنایی با نحوه بررسی سطح وصله امنیتی دستگاه، به بخش «بررسی و بهروزرسانی نسخه اندروید» مراجعه کنید.
اندروید ۱۳، همانطور که در AOSP منتشر شده است، دارای سطح وصله امنیتی پیشفرض ۲۰۲۲-۰۹-۰۱ است. دستگاههای اندرویدی که اندروید ۱۳ را اجرا میکنند و سطح وصله امنیتی ۲۰۲۲-۰۹-۰۱ یا بالاتر دارند، تمام مشکلات موجود در این یادداشتهای انتشار امنیتی را برطرف میکنند.
۲. منظور از ورودیهای ستون Type چیست؟
ورودیهای ستون نوع جدول جزئیات آسیبپذیری، طبقهبندی آسیبپذیری امنیتی را نشان میدهند.
| اختصار | تعریف |
|---|---|
| آر سی ای | اجرای کد از راه دور |
| ای او پی | ارتقاء امتیاز |
| شناسه | افشای اطلاعات |
| داس | عدم ارائه خدمات |
| ناموجود | طبقه بندی موجود نیست |
۳. منظور از ورودیهای ستون منابع چیست؟
ورودیهای زیر ستون References در جدول جزئیات آسیبپذیری ممکن است حاوی پیشوندی باشند که سازمانی را که مقدار مرجع به آن تعلق دارد، مشخص میکند.
| پیشوند | مرجع |
|---|---|
| الف- | شناسه اشکال اندروید |
نسخهها
| نسخه | تاریخ | یادداشتها |
|---|---|---|
| ۱.۰ | ۲۵ ژوئیه ۲۰۲۲ | یادداشتهای انتشار امنیتی منتشر شد |
| ۱.۱ | ۸ آگوست ۲۰۲۲ | فهرست مشکلات بهروزرسانیشده |
| ۱.۲ | ۲۱ سپتامبر ۲۰۲۲ | فهرست مشکلات بهروزرسانیشده |
| ۱.۳ | ۱۱ اکتبر ۲۰۲۲ | فهرست مشکلات بهروزرسانیشده |
| ۱.۴ | ۲۸ مارس ۲۰۲۲ | فهرست مشکلات بهروزرسانیشده |
| ۱.۵ | ۲۹ ژوئن ۲۰۲۳ | فهرست مشکلات بهروزرسانیشده |