נתוני הגרסה האלה של נתוני האבטחה של Android כוללים פרטים על פרצות אבטחה שמשפיעות על מכשירי Android והטיפול בהם כחלק מ-Android 13. מכשירי Android 13 עם רמת תיקון אבטחה של 1 בספטמבר 2022 ואילך מוגנים מפני הבעיות האלה (רמת תיקון האבטחה שמוגדרת כברירת מחדל ב-Android 13, כפי שהיא פורסמה ב-AOSP, היא 1 בספטמבר 2022). במאמר איך בודקים את גרסת Android ומעדכנים אותה מוסבר איך בודקים את רמת תיקון האבטחה של המכשיר.
שותפי Android מקבלים הודעה על כל הבעיות לפני הפרסום. תיקונים של קוד המקור לבעיות האלה יפורסמו למאגר של פרויקט הקוד הפתוח של Android (AOSP) כחלק מגרסת Android 13.
הערכת החומרה של הבעיות שמפורטות בעדכוני הגרסה האלה מבוססת על ההשפעה האפשרית של ניצול נקודת החולשה על המכשיר המושפע, בהנחה שהאמצעי למזעור הפגיעות בפלטפורמה ובשירות מושבתים למטרות פיתוח או אם הם עוקפים בהצלחה.
לא קיבלנו דיווחים על ניצול או ניצול לרעה של הבעיות החדשות האלה על ידי לקוחות. בקטע אמצעי המיטיגציה של Android ו-Google Play Protect מפורט מידע על ההגנות של פלטפורמת האבטחה של Android ועל Google Play Protect, שמשפרים את האבטחה של פלטפורמת Android.
הודעות
- הבעיות המתוארות במסמך הזה טופלו במסגרת Android 13. המידע הזה נמסר לנו לצורך התייחסות ושקיפות.
- אנחנו רוצים להודות ולהודות לקהילת המחקר בתחום האבטחה על תרומותיה המתמשכות לשמירה על אבטחת הסביבה העסקית של Android.
הפחתת ההשפעה על שירותי Android ו-Google
זהו סיכום של אמצעי המיטיגציה שסופקו על ידי פלטפורמת האבטחה של Android והגנות שירות כמו Google Play Protect. היכולות האלה מצמצמות את הסיכוי לנצל לרעה נקודות חולשה באבטחה ב-Android.
- שיפורים בגרסאות חדשות יותר של פלטפורמת Android מקשים על ניצול של בעיות רבות ב-Android. אנחנו ממליצים לכל המשתמשים לעדכן לגרסה האחרונה של Android, אם אפשר.
- צוות האבטחה של Android עוקב באופן פעיל אחר התנהלות פוגעת באמצעות Google Play Protect, ומזהיר משתמשים לגבי אפליקציות שעלולות להזיק. Google Play Protect מופעל כברירת מחדל במכשירים עם Google Mobile Services, והוא חשוב במיוחד למשתמשים שמתקינים אפליקציות ממקורות שאינם Google Play.
פרטי נקודת החולשה ב-Android 13
הקטעים הבאים מספקים פרטים על פרצות אבטחה שתוקנו כחלק מ-Android 13. נקודות החולשה מקובצות לפי הרכיב שבו הן משפיעות, וכוללות פרטים כמו מספר ה-CVE, מקורות מידע משויכים, סוג נקודת החולשה ומידת החומרה.
סביבת זמן ריצה ל-Android (ART)
| CVE | קובצי עזר | סוג | מידת החומרה |
|---|---|---|---|
| CVE-2013-0340 | A-24901276 | מניעת שירות (DoS) | בינונית |
Framework
| CVE | קובצי עזר | סוג | מידת החומרה |
|---|---|---|---|
| CVE-2022-20266 | A-211757348 | EoP | רחב |
| CVE-2022-20301 | A-200956614 | EoP | רחב |
| CVE-2022-20305 | A-199751623 | EoP | רחב |
| CVE-2022-20443 | A-194480991 | ליש"ט | רחב |
| CVE-2022-20270 | A-209005023 | מזהה | רחב |
| CVE-2022-20294 | A-202160705 | מזהה | רחב |
| CVE-2022-20295 | A-202160584 | מזהה | רחב |
| CVE-2022-20296 | A-201794303 | מזהה | רחב |
| CVE-2022-20298 | A-201416182 | מזהה | רחב |
| CVE-2022-20299 | A-201415895 | מזהה | רחב |
| CVE-2022-20300 | A-200956588 | מזהה | רחב |
| CVE-2022-20303 | A-200573021 | מזהה | רחב |
| CVE-2022-20304 | A-199751919 | מזהה | רחב |
| CVE-2022-20260 | A-220865698 | מניעת שירות (DoS) | רחב |
| CVE-2022-20246 | A-230493191 | EoP | בינונית |
| CVE-2022-20250 | A-226134095 | EoP | בינונית |
| CVE-2022-20255 | A-222687217 | EoP | בינונית |
| CVE-2022-20268 | A-210468836 | EoP | בינונית |
| CVE-2022-20271 | A-207672635 | ליש"ט | בינונית |
| CVE-2022-20278 | A-205130113 | EoP | בינונית |
| CVE-2022-20281 | A-204083967 | EoP | בינונית |
| CVE-2022-20282 | A-204083104 | EoP | בינונית |
| CVE-2022-20312 | A-192244925 | ליש"ט | בינונית |
| CVE-2022-20331 | A-181785557 | EoP | בינונית |
| CVE-2021-0734 | A-189122911 | מזהה | בינונית |
| CVE-2021-0735 | A-188913056 | מזהה | בינונית |
| CVE-2021-0975 | A-180104273 | מזהה | בינונית |
| CVE-2022-20243 | A-190199986 | מזהה | בינונית |
| CVE-2022-20249 | A-226900861 | מזהה | בינונית |
| CVE-2022-20252 | A-224547584 | מזהה | בינונית |
| CVE-2022-20262 | A-218338453 | מזהה | בינונית |
| CVE-2022-20263 | A-217935264 | מזהה | בינונית |
| CVE-2022-20272 | A-207672568 | מזהה | בינונית |
| CVE-2022-20275 | A-205836975 | מזהה | בינונית |
| CVE-2022-20276 | A-205706731 | מזהה | בינונית |
| CVE-2022-20277 | A-205145497 | מזהה | בינונית |
| CVE-2022-20279 | A-204877302 | מזהה | בינונית |
| CVE-2022-20285 | A-230868108 | מזהה | בינונית |
| CVE-2022-20287 | A-204082784 | מזהה | בינונית |
| CVE-2022-20288 | A-204082360 | מזהה | בינונית |
| CVE-2022-20289 | A-203683960 | מזהה | בינונית |
| CVE-2022-20291 | A-203430648 | מזהה | בינונית |
| CVE-2022-20293 | A-202298672 | מזהה | בינונית |
| CVE-2022-20307 | A-198782887 | מזהה | בינונית |
| CVE-2022-20309 | A-194694094 | מזהה | בינונית |
| CVE-2022-20315 | A-191058227 | מזהה | בינונית |
| CVE-2022-20316 | A-190726121 | מזהה | בינונית |
| CVE-2022-20318 | A-194694069 | מזהה | בינונית |
| CVE-2022-20320 | A-187956596 | מזהה | בינונית |
| CVE-2022-20324 | A-187042120 | מזהה | בינונית |
| CVE-2022-20328 | A-184948501 | מזהה | בינונית |
| CVE-2022-20332 | A-180019130 | מזהה | בינונית |
| CVE-2022-20336 | A-177239688 | מזהה | בינונית |
| CVE-2022-20341 | A-162952629 | מזהה | בינונית |
| CVE-2022-20322 | A-187176993 | מזהה | נמוכה |
| CVE-2022-20323 | A-187176203 | מזהה | נמוכה |
Media Framework
| CVE | קובצי עזר | סוג | מידת החומרה |
|---|---|---|---|
| CVE-2022-20290 | A-203549963 | EoP | בינונית |
| CVE-2022-20325 | A-186473060 | ליש"ט | בינונית |
| CVE-2022-20247 | A-229858836 | מזהה | בינונית |
| CVE-2022-20317 | A-190199063 | מזהה | בינונית |
חבילה
| CVE | קובצי עזר | סוג | מידת החומרה |
|---|---|---|---|
| CVE-2022-20319 | A-189574230 | EoP | בינונית |
פלטפורמה
| CVE | קובצי עזר | סוג | מידת החומרה |
|---|---|---|---|
| CVE-2022-20302 | A-200746457 | EoP | בינונית |
| CVE-2022-20321 | A-187176859 | מזהה | בינונית |
פלטפורמה
| CVE | קובצי עזר | סוג | מידת החומרה |
|---|---|---|---|
| CVE-2022-20265 | A-212804898 | EoP | בינונית |
מערכת
| CVE | קובצי עזר | סוג | מידת החומרה |
|---|---|---|---|
| CVE-2022-20283 | A-233069336 | RCE | קריטי |
| CVE-2022-20362 | A-230756082 | RCE | קריטי |
| CVE-2022-20292 | A-202975040 | EoP | רחב |
| CVE-2022-20297 | A-201561699 | ליש"ט | רחב |
| CVE-2022-20330 | A-181962588 | EoP | רחב |
| CVE-2021-0518 | A-176541017 | מזהה | רחב |
| CVE-2022-20245 | A-215005011 | מזהה | רחב |
| CVE-2022-20259 | A-221431393 | מזהה | רחב |
| CVE-2022-20284 | A-231986341 | מזהה | רחב |
| CVE-2022-20326 | A-185235527 | מזהה | רחב |
| CVE-2022-20327 | A-185126813 | מזהה | רחב |
| CVE-2022-20339 | A-171572148 | מזהה | רחב |
| CVE-2022-20244 | A-201083240 | EoP | בינונית |
| CVE-2022-20248 | A-227619193 | EoP | בינונית |
| CVE-2022-20254 | A-223377547 | EoP | בינונית |
| CVE-2022-20256 | A-222572821 | EoP | בינונית |
| CVE-2022-20257 | A-222289114 | EoP | בינונית |
| CVE-2022-20258 | A-221893030 | ליש"ט | בינונית |
| CVE-2022-20267 | A-211646835 | EoP | בינונית |
| CVE-2022-20269 | A-209062898 | EoP | בינונית |
| CVE-2022-20274 | A-206470146 | EoP | בינונית |
| CVE-2022-20286 | A-230866011 | ליש"ט | בינונית |
| CVE-2022-20306 | A-199680794 | EoP | בינונית |
| CVE-2022-20313 | A-192206329 | EoP | בינונית |
| CVE-2022-20314 | A-191876118 | EoP | בינונית |
| CVE-2022-20329 | A-183410556 | EoP | בינונית |
| CVE-2022-20335 | A-178014725 | EoP | בינונית |
| CVE-2022-20241 | A-217185011 | מזהה | בינונית |
| CVE-2022-20242 | A-231986212 | מזהה | בינונית |
| CVE-2022-20251 | A-225881167 | מזהה | בינונית |
| CVE-2022-20261 | A-219835125 | מזהה | בינונית |
| CVE-2022-20273 | A-206478022 | מזהה | בינונית |
| CVE-2022-20280 | A-204117261 | מזהה | בינונית |
| CVE-2022-20310 | A-192663798 | מזהה | בינונית |
| CVE-2022-20311 | A-192663553 | מזהה | בינונית |
| CVE-2022-20340 | A-166269532 | מזהה | בינונית |
| CVE-2022-20342 | A-143534321 | מזהה | בינונית |
| CVE-2022-20253 | A-224545125 | מניעת שירות (DoS) | בינונית |
| CVE-2022-20308 | A-197874458 | מניעת שירות (DoS) | בינונית |
| CVE-2022-20333 | A-179161657 | מניעת שירות (DoS) | בינונית |
| CVE-2022-20334 | A-178800552 | מניעת שירות (DoS) | בינונית |
שאלות נפוצות ותשובות
בקטע הזה נענה על שאלות נפוצות שעשויות להתעורר אחרי קריאת העדכון.
1. איך אפשר לדעת אם המכשיר מעודכן כדי לטפל בבעיות האלה?
כדי ללמוד איך בודקים את הרמה של תיקון האבטחה במכשיר, ראו איך בודקים ומעדכנים את גרסת Android במכשיר.
בגרסת Android 13, שהושקה ב-AOSP, רמת תיקון האבטחה היא 01.09.2022. במכשירי Android עם מערכת הפעלה Android 13 ורמת תיקון אבטחה מ-1 בספטמבר 2022 ואילך, תוקנו כל הבעיות שמפורטות בפתקים האלה לגבי עדכוני האבטחה.
2. מה המשמעות של הרשומות בעמודה Type?
הרשומות בעמודה Type בטבלת פרטי נקודת החולשה מתייחסות לסיווג של נקודת החולשה באבטחה.
| קיצור | הגדרה |
|---|---|
| RCE | ביצוע קוד מרחוק |
| EoP | הסלמת הרשאות |
| מזהה | חשיפת מידע |
| מניעת שירות (DoS) | התקפת מניעת שירות (DoS) |
| לא רלוונטי | הסיווג לא זמין |
3. מה המשמעות של הרשומות בעמודה References?
רשומות בעמודה References בטבלת פרטי נקודת החולשה עשויות להכיל קידומת שמזהה את הארגון שאליו שייך ערך ההפניה.
| תחילית | חומרי עזר |
|---|---|
| A- | מזהה הבאג ב-Android |
גרסאות
| גרסה | תאריך | הערות |
|---|---|---|
| 1.0 | 25 ביולי 2022 | נתוני הגרסה לאבטחה פורסמו |
| 1.1 | 8 באוגוסט 2022 | רשימת הבעיות המעודכנת |
| 1.2 | 21 בספטמבר 2022 | רשימת הבעיות המעודכנת |
| 1.3 | 11 באוקטובר 2022 | רשימת הבעיות עודכנה |
| 1.4 | 28 במרץ 2022 | רשימת הבעיות עודכנה |
| 1.5 | 29 ביוני 2023 | רשימת הבעיות המעודכנת |