בעדכון הזה יפורטו פרטים על נקודות חולשה באבטחה שמשפיעות על מכשירי Android, והוא ייכלל ב-Android 13. מכשירי Android 13 עם רמת תיקון אבטחה של 1 בספטמבר 2022 ואילך מוגנים מפני הבעיות האלה (רמת תיקון האבטחה שמוגדרת כברירת מחדל ב-Android 13, כפי שהיא פורסמה ב-AOSP, היא 1 בספטמבר 2022). במאמר איך בודקים את גרסת Android ומעדכנים אותה מוסבר איך בודקים את רמת תיקון האבטחה של המכשיר.
שותפי Android מקבלים הודעה על כל הבעיות לפני הפרסום. תיקוני קוד המקור לבעיות האלה יפורסמו במאגר של Android Open Source Project (AOSP) כחלק מהשקת Android 13.
הערכת החומרה של הבעיות שמפורטות בעדכוני הגרסה האלה מבוססת על ההשפעה האפשרית של ניצול נקודת החולשה על המכשיר המושפע, בהנחה שהאמצעי למזעור הפגיעות בפלטפורמה ובשירות מושבתים למטרות פיתוח או אם הם עוקפים בהצלחה.
לא קיבלנו דיווחים על ניצול או ניצול לרעה של הבעיות החדשות האלה על ידי לקוחות. בקטע אמצעי המיטיגציה של Android ו-Google Play Protect מפורט מידע על אמצעי ההגנה של פלטפורמת האבטחה של Android ועל Google Play Protect, שמשפרים את האבטחה של פלטפורמת Android.
הודעות
- הבעיות המתוארות במסמך הזה טופלו במסגרת Android 13. המידע הזה מוצג לצורך עיון ושקיפות.
- אנחנו רוצים להודות ולהכיר תודה לקהילת חוקרי האבטחה על התרומות המתמשכות שלהם לשיפור האבטחה בסביבת Android.
הפחתת ההשפעה על שירותי Android ו-Google
זהו סיכום של אמצעי המיטיגציה שסופקו על ידי פלטפורמת האבטחה של Android והגנות שירות כמו Google Play Protect. היכולות האלה מצמצמות את הסיכוי לנצל לרעה נקודות חולשה באבטחה ב-Android.
- שיפורים בגרסאות חדשות יותר של פלטפורמת Android מקשים על ניצול של בעיות רבות ב-Android. אנחנו ממליצים לכל המשתמשים לעדכן לגרסה האחרונה של Android, אם אפשר.
- צוות האבטחה של Android עוקב באופן פעיל אחר התנהלות פוגעת באמצעות Google Play Protect, ומזהיר משתמשים לגבי אפליקציות שעלולות להזיק. Google Play Protect מופעל כברירת מחדל במכשירים עם Google Mobile Services, והוא חשוב במיוחד למשתמשים שמתקינים אפליקציות ממקורות שאינם Google Play.
פרטי נקודת החולשה ב-Android 13
בקטעים הבאים מפורטים פרטים על נקודות חולשה באבטחה שתוקנו במסגרת Android 13. נקודות החולשה מקובצות לפי הרכיב שבו הן משפיעות, וכוללות פרטים כמו מספר ה-CVE, מקורות מידע משויכים, סוג נקודת החולשה ומידת החומרה.
סביבת זמן ריצה ל-Android (ART)
| CVE | קובצי עזר | סוג | מידת החומרה |
|---|---|---|---|
| CVE-2013-0340 | A-24901276 | DoS | בינונית |
Framework
| CVE | קובצי עזר | סוג | מידת החומרה |
|---|---|---|---|
| CVE-2022-20266 | A-211757348 | EoP | גבוהה |
| CVE-2022-20301 | A-200956614 | EoP | גבוהה |
| CVE-2022-20305 | A-199751623 | EoP | גבוהה |
| CVE-2022-20443 | A-194480991 | EoP | גבוהה |
| CVE-2022-20270 | A-209005023 | מזהה | גבוהה |
| CVE-2022-20294 | A-202160705 | מזהה | גבוהה |
| CVE-2022-20295 | A-202160584 | מזהה | גבוהה |
| CVE-2022-20296 | A-201794303 | מזהה | גבוהה |
| CVE-2022-20298 | A-201416182 | מזהה | גבוהה |
| CVE-2022-20299 | A-201415895 | מזהה | גבוהה |
| CVE-2022-20300 | A-200956588 | מזהה | גבוהה |
| CVE-2022-20303 | A-200573021 | מזהה | גבוהה |
| CVE-2022-20304 | A-199751919 | מזהה | גבוהה |
| CVE-2022-20260 | A-220865698 | DoS | גבוהה |
| CVE-2022-20246 | A-230493191 | EoP | בינונית |
| CVE-2022-20250 | A-226134095 | EoP | בינונית |
| CVE-2022-20255 | A-222687217 | EoP | בינונית |
| CVE-2022-20268 | A-210468836 | EoP | בינונית |
| CVE-2022-20271 | A-207672635 | EoP | בינונית |
| CVE-2022-20278 | A-205130113 | EoP | בינונית |
| CVE-2022-20281 | A-204083967 | EoP | בינונית |
| CVE-2022-20282 | A-204083104 | EoP | בינונית |
| CVE-2022-20312 | A-192244925 | EoP | בינונית |
| CVE-2022-20331 | A-181785557 | EoP | בינונית |
| CVE-2021-0734 | A-189122911 | מזהה | בינונית |
| CVE-2021-0735 | A-188913056 | מזהה | בינונית |
| CVE-2021-0975 | A-180104273 | מזהה | בינונית |
| CVE-2022-20243 | A-190199986 | מזהה | בינונית |
| CVE-2022-20249 | A-226900861 | מזהה | בינונית |
| CVE-2022-20252 | A-224547584 | מזהה | בינונית |
| CVE-2022-20262 | A-218338453 | מזהה | בינונית |
| CVE-2022-20263 | A-217935264 | מזהה | בינונית |
| CVE-2022-20272 | A-207672568 | מזהה | בינונית |
| CVE-2022-20275 | A-205836975 | מזהה | בינונית |
| CVE-2022-20276 | A-205706731 | מזהה | בינונית |
| CVE-2022-20277 | A-205145497 | מזהה | בינונית |
| CVE-2022-20279 | A-204877302 | מזהה | בינונית |
| CVE-2022-20285 | A-230868108 | מזהה | בינונית |
| CVE-2022-20287 | A-204082784 | מזהה | בינונית |
| CVE-2022-20288 | A-204082360 | מזהה | בינונית |
| CVE-2022-20289 | A-203683960 | מזהה | בינונית |
| CVE-2022-20291 | A-203430648 | מזהה | בינונית |
| CVE-2022-20293 | A-202298672 | מזהה | בינונית |
| CVE-2022-20307 | A-198782887 | מזהה | בינונית |
| CVE-2022-20309 | A-194694094 | מזהה | בינונית |
| CVE-2022-20315 | A-191058227 | מזהה | בינונית |
| CVE-2022-20316 | A-190726121 | מזהה | בינונית |
| CVE-2022-20318 | A-194694069 | מזהה | בינונית |
| CVE-2022-20320 | A-187956596 | מזהה | בינונית |
| CVE-2022-20324 | A-187042120 | מזהה | בינונית |
| CVE-2022-20328 | A-184948501 | מזהה | בינונית |
| CVE-2022-20332 | A-180019130 | מזהה | בינונית |
| CVE-2022-20336 | A-177239688 | מזהה | בינונית |
| CVE-2022-20341 | A-162952629 | מזהה | בינונית |
| CVE-2022-20322 | A-187176993 | מזהה | נמוכה |
| CVE-2022-20323 | A-187176203 | מזהה | נמוכה |
Media Framework
| CVE | קובצי עזר | סוג | מידת החומרה |
|---|---|---|---|
| CVE-2022-20290 | A-203549963 | EoP | בינונית |
| CVE-2022-20325 | A-186473060 | EoP | בינונית |
| CVE-2022-20247 | A-229858836 | מזהה | בינונית |
| CVE-2022-20317 | A-190199063 | מזהה | בינונית |
חבילה
| CVE | קובצי עזר | סוג | מידת החומרה |
|---|---|---|---|
| CVE-2022-20319 | A-189574230 | EoP | בינונית |
פלטפורמה
| CVE | קובצי עזר | סוג | מידת החומרה |
|---|---|---|---|
| CVE-2022-20302 | A-200746457 | EoP | בינונית |
| CVE-2022-20321 | A-187176859 | מזהה | בינונית |
פלטפורמה
| CVE | קובצי עזר | סוג | מידת החומרה |
|---|---|---|---|
| CVE-2022-20265 | A-212804898 | EoP | בינונית |
מערכת
| CVE | קובצי עזר | סוג | מידת החומרה |
|---|---|---|---|
| CVE-2022-20283 | A-233069336 | RCE | קריטי |
| CVE-2022-20362 | A-230756082 | RCE | קריטי |
| CVE-2022-20292 | A-202975040 | EoP | גבוהה |
| CVE-2022-20297 | A-201561699 | EoP | גבוהה |
| CVE-2022-20330 | A-181962588 | EoP | גבוהה |
| CVE-2021-0518 | A-176541017 | מזהה | גבוהה |
| CVE-2022-20245 | A-215005011 | מזהה | גבוהה |
| CVE-2022-20259 | A-221431393 | מזהה | גבוהה |
| CVE-2022-20284 | A-231986341 | מזהה | גבוהה |
| CVE-2022-20326 | A-185235527 | מזהה | גבוהה |
| CVE-2022-20327 | A-185126813 | מזהה | גבוהה |
| CVE-2022-20339 | A-171572148 | מזהה | גבוהה |
| CVE-2022-20244 | A-201083240 | EoP | בינונית |
| CVE-2022-20248 | A-227619193 | EoP | בינונית |
| CVE-2022-20254 | A-223377547 | EoP | בינונית |
| CVE-2022-20256 | A-222572821 | EoP | בינונית |
| CVE-2022-20257 | A-222289114 | EoP | בינונית |
| CVE-2022-20258 | A-221893030 | EoP | בינונית |
| CVE-2022-20267 | A-211646835 | EoP | בינונית |
| CVE-2022-20269 | A-209062898 | EoP | בינונית |
| CVE-2022-20274 | A-206470146 | EoP | בינונית |
| CVE-2022-20286 | A-230866011 | EoP | בינונית |
| CVE-2022-20306 | A-199680794 | EoP | בינונית |
| CVE-2022-20313 | A-192206329 | EoP | בינונית |
| CVE-2022-20314 | A-191876118 | EoP | בינונית |
| CVE-2022-20329 | A-183410556 | EoP | בינונית |
| CVE-2022-20335 | A-178014725 | EoP | בינונית |
| CVE-2022-20241 | A-217185011 | מזהה | בינונית |
| CVE-2022-20242 | A-231986212 | מזהה | בינונית |
| CVE-2022-20251 | A-225881167 | מזהה | בינונית |
| CVE-2022-20261 | A-219835125 | מזהה | בינונית |
| CVE-2022-20273 | A-206478022 | מזהה | בינונית |
| CVE-2022-20280 | A-204117261 | מזהה | בינונית |
| CVE-2022-20310 | A-192663798 | מזהה | בינונית |
| CVE-2022-20311 | A-192663553 | מזהה | בינונית |
| CVE-2022-20340 | A-166269532 | מזהה | בינונית |
| CVE-2022-20342 | A-143534321 | מזהה | בינונית |
| CVE-2022-20253 | A-224545125 | DoS | בינונית |
| CVE-2022-20308 | A-197874458 | DoS | בינונית |
| CVE-2022-20333 | A-179161657 | DoS | בינונית |
| CVE-2022-20334 | A-178800552 | DoS | בינונית |
שאלות נפוצות ותשובות
בקטע הזה נענה על שאלות נפוצות שעשויות להתעורר אחרי קריאת העדכון.
1. איך אפשר לדעת אם המכשיר מעודכן כדי לטפל בבעיות האלה?
במאמר בדיקת גרסת Android ועדכון שלה מוסבר איך בודקים את רמת תיקון האבטחה של המכשיר.
גרסת Android 13, כפי שהושקה ב-AOSP, כוללת רמת תיקון אבטחה שמוגדרת כברירת מחדל ל-01 בספטמבר 2022. במכשירי Android עם מערכת הפעלה Android 13 ורמת תיקון אבטחה מ-1 בספטמבר 2022 ואילך, תוקנו כל הבעיות שמפורטות בפתקים האלה לגבי עדכוני האבטחה.
2. מה המשמעות של הרשומות בעמודה Type?
הרשומות בעמודה Type בטבלת פרטי נקודת החולשה מתייחסות לסיווג של נקודת החולשה באבטחה.
| קיצור | הגדרה |
|---|---|
| RCE | ביצוע קוד מרחוק |
| EoP | הסלמת הרשאות |
| מזהה | חשיפת מידע |
| DoS | התקפת מניעת שירות (DoS) |
| לא רלוונטי | הסיווג לא זמין |
3. מה המשמעות של הרשומות בעמודה References?
רשומות בעמודה References בטבלת פרטי נקודת החולשה עשויות להכיל קידומת שמזהה את הארגון שאליו שייך ערך ההפניה.
| תחילית | חומרי עזר |
|---|---|
| A- | מזהה הבאג ב-Android |
גרסאות
| גרסה | תאריך | הערות |
|---|---|---|
| 1.0 | 25 ביולי 2022 | פורסמו הערות מוצר בנושא אבטחה |
| 1.1 | 8 באוגוסט 2022 | רשימת הבעיות המעודכנת |
| 1.2 | 21 בספטמבר 2022 | רשימת הבעיות המעודכנת |
| 1.3 | 11 באוקטובר 2022 | רשימת הבעיות המעודכנת |
| 1.4 | 28 במרץ 2022 | רשימת הבעיות המעודכנת |
| 1.5 | 29 ביוני 2023 | רשימת הבעיות המעודכנת |