Android 13 보안 출시 노트

2022년 7월 25일 게시됨 | 2022년 3월 28일 업데이트됨

이 Android 보안 출시 노트에는 Android 13에서 해결된 Android 기기 보안 취약점에 관한 자세한 내용이 포함되어 있습니다. 2022-09-01 이상 보안 패치 수준을 사용하는 Android 13 기기는 이러한 문제로부터 보호됩니다(AOSP로 출시된 Android 13은 2022-09-01 보안 패치 수준이 기본적으로 설치되어 있음). 기기의 보안 패치 수준을 확인하는 방법은 Android 버전 확인 및 업데이트를 참고하세요.

Android 파트너에게는 게시 전에 모든 문제 관련 알림이 전달되었습니다. 이러한 문제의 해결을 위한 소스 코드 패치는 Android 13 출시의 일부로 Android 오픈소스 프로젝트(AOSP) 저장소에 배포됩니다.

이번 출시 노트에 포함된 문제 심각도 평가는 개발 목적으로 플랫폼 및 서비스의 취약점 완화 기능이 사용 중지되거나 이 기능의 우회에 성공한 경우 취약점 악용으로 인해 대상 기기가 받는 영향을 기준으로 합니다.

실제 고객이 새로 보고된 문제로 인해 피해를 입었다는 신고는 접수되지 않았습니다. Android 플랫폼의 보안을 개선하는 Android 보안 플랫폼 보호 및 Google Play 프로텍트에 관해 자세히 알아보려면 Android 및 Google Play 프로텍트 취약점 완화 섹션을 참고하세요.

공지사항

  • 이 문서에 설명된 문제는 Android 13에서 해결되었습니다. 다음 정보는 참조 및 투명한 정보 공개를 위해 제공되었습니다.
  • Android 생태계를 안전하게 보호하기 위한 노력을 멈추지 않고 있는 보안 연구 커뮤니티의 노고에 진심으로 감사드립니다.

Android 및 Google 서비스 취약점 완화

다음은 Google Play 프로텍트와 같은 Android 보안 플랫폼 및 서비스 보호 기능에서 제공하는 취약점 완화 기능에 관한 요약입니다. 이러한 기능을 통해 Android에서 보안 취약점이 악용될 가능성을 줄일 수 있습니다.

  • Android 플랫폼 최신 버전의 향상된 기능으로 Android의 여러 문제를 악용하기가 더욱 어려워졌습니다. 가능하다면 모든 사용자는 최신 버전의 Android로 업데이트하는 것이 좋습니다.
  • Android 보안팀에서는 Google Play 프로텍트를 통해 악용 사례를 적극적으로 모니터링하고 잠재적으로 위험한 애플리케이션에 관해 사용자에게 경고를 보냅니다. Google Play 프로텍트는 Google 모바일 서비스가 적용된 기기에 기본적으로 사용 설정되어 있으며 Google Play 외부에서 가져온 앱을 설치하는 사용자에게 특히 중요합니다.

Android 13 취약점 세부정보

아래 섹션에서는 Android 13에서 해결된 보안 취약점에 관한 세부정보를 제공합니다. 취약점은 영향을 받는 구성요소 아래에 그룹화되어 있으며 CVE, 관련 참조, 취약점 유형, 심각도와 같은 세부정보가 포함되어 있습니다.

Android 런타임

CVE 참조 유형 심각도
CVE-2013-0340 A-24901276 DoS 보통

프레임워크

CVE 참조 유형 심각도
CVE-2022-20266 A-211757348 EoP 높음
CVE-2022-20301 A-200956614 EoP 높음
CVE-2022-20305 A-199751623 EoP 높음
CVE-2022-20270 A-209005023 ID 높음
CVE-2022-20294 A-202160705 ID 높음
CVE-2022-20295 A-202160584 ID 높음
CVE-2022-20296 A-201794303 ID 높음
CVE-2022-20298 A-201416182 ID 높음
CVE-2022-20299 A-201415895 ID 높음
CVE-2022-20300 A-200956588 ID 높음
CVE-2022-20303 A-200573021 ID 높음
CVE-2022-20304 A-199751919 ID 높음
CVE-2022-20260 A-220865698 DoS 높음
CVE-2022-20246 A-230493191 EoP 보통
CVE-2022-20250 A-226134095 EoP 보통
CVE-2022-20255 A-222687217 EoP 보통
CVE-2022-20268 A-210468836 EoP 보통
CVE-2022-20271 A-207672635 EoP 보통
CVE-2022-20278 A-205130113 EoP 보통
CVE-2022-20281 A-204083967 EoP 보통
CVE-2022-20282 A-204083104 EoP 보통
CVE-2022-20312 A-192244925 EoP 보통
CVE-2022-20331 A-181785557 EoP 보통
CVE-2021-0734 A-189122911 ID 보통
CVE-2021-0735 A-188913056 ID 보통
CVE-2021-0975 A-180104273 ID 보통
CVE-2022-20243 A-190199986 ID 보통
CVE-2022-20249 A-226900861 ID 보통
CVE-2022-20252 A-224547584 ID 보통
CVE-2022-20262 A-218338453 ID 보통
CVE-2022-20263 A-217935264 ID 보통
CVE-2022-20272 A-207672568 ID 보통
CVE-2022-20275 A-205836975 ID 보통
CVE-2022-20276 A-205706731 ID 보통
CVE-2022-20277 A-205145497 ID 보통
CVE-2022-20279 A-204877302 ID 보통
CVE-2022-20285 A-230868108 ID 보통
CVE-2022-20287 A-204082784 ID 보통
CVE-2022-20288 A-204082360 ID 보통
CVE-2022-20289 A-203683960 ID 보통
CVE-2022-20291 A-203430648 ID 보통
CVE-2022-20293 A-202298672 ID 보통
CVE-2022-20307 A-198782887 ID 보통
CVE-2022-20309 A-194694094 ID 보통
CVE-2022-20315 A-191058227 ID 보통
CVE-2022-20316 A-190726121 ID 보통
CVE-2022-20318 A-194694069 ID 보통
CVE-2022-20320 A-187956596 ID 보통
CVE-2022-20324 A-187042120 ID 보통
CVE-2022-20328 A-184948501 ID 보통
CVE-2022-20332 A-180019130 ID 보통
CVE-2022-20336 A-177239688 ID 보통
CVE-2022-20341 A-162952629 ID 보통
CVE-2022-20322 A-187176993 ID 낮음
CVE-2022-20323 A-187176203 ID 낮음

미디어 프레임워크

CVE 참조 유형 심각도
CVE-2022-20290 A-203549963 EoP 보통
CVE-2022-20325 A-186473060 EoP 보통
CVE-2022-20247 A-229858836 ID 보통
CVE-2022-20317 A-190199063 ID 보통

패키지

CVE 참조 유형 심각도
CVE-2022-20319 A-189574230 EoP 보통

플랫폼

CVE 참조 유형 심각도
CVE-2022-20302 A-200746457 EoP 보통
CVE-2022-20321 A-187176859 ID 보통

플랫폼

CVE 참조 유형 심각도
CVE-2022-20265 A-212804898 EoP 보통

시스템

CVE 참조 유형 심각도
CVE-2022-20283 A-233069336 RCE 심각
CVE-2022-20362 A-230756082 RCE 심각
CVE-2022-20292 A-202975040 EoP 높음
CVE-2022-20297 A-201561699 EoP 높음
CVE-2022-20330 A-181962588 EoP 높음
CVE-2021-0518 A-176541017 ID 높음
CVE-2022-20245 A-215005011 ID 높음
CVE-2022-20259 A-221431393 ID 높음
CVE-2022-20284 A-231986341 ID 높음
CVE-2022-20326 A-185235527 ID 높음
CVE-2022-20327 A-185126813 ID 높음
CVE-2022-20339 A-171572148 ID 높음
CVE-2022-20244 A-201083240 EoP 보통
CVE-2022-20248 A-227619193 EoP 보통
CVE-2022-20254 A-223377547 EoP 보통
CVE-2022-20256 A-222572821 EoP 보통
CVE-2022-20257 A-222289114 EoP 보통
CVE-2022-20258 A-221893030 EoP 보통
CVE-2022-20267 A-211646835 EoP 보통
CVE-2022-20269 A-209062898 EoP 보통
CVE-2022-20274 A-206470146 EoP 보통
CVE-2022-20286 A-230866011 EoP 보통
CVE-2022-20306 A-199680794 EoP 보통
CVE-2022-20313 A-192206329 EoP 보통
CVE-2022-20314 A-191876118 EoP 보통
CVE-2022-20329 A-183410556 EoP 보통
CVE-2022-20335 A-178014725 EoP 보통
CVE-2022-20241 A-217185011 ID 보통
CVE-2022-20242 A-231986212 ID 보통
CVE-2022-20251 A-225881167 ID 보통
CVE-2022-20261 A-219835125 ID 보통
CVE-2022-20273 A-206478022 ID 보통
CVE-2022-20280 A-204117261 ID 보통
CVE-2022-20310 A-192663798 ID 보통
CVE-2022-20311 A-192663553 ID 보통
CVE-2022-20340 A-166269532 ID 보통
CVE-2022-20342 A-143534321 ID 보통
CVE-2022-20253 A-224545125 DoS 보통
CVE-2022-20308 A-197874458 DoS 보통
CVE-2022-20333 A-179161657 DoS 보통
CVE-2022-20334 A-178800552 DoS 보통

일반적인 질문 및 답변

이 섹션에서는 게시판 내용에 관한 일반적인 질문의 답변을 제시합니다.

1. 내 기기가 업데이트되어 이 문제가 해결되었는지 어떻게 알 수 있나요?

기기의 보안 패치 수준을 확인하는 방법은 Android 버전 확인 및 업데이트를 참고하세요.

AOSP에 게시된 Android 13의 기본 보안 패치 수준은 2022-09-01입니다. Android 13을 실행하며 보안 패치 수준이 2022-09-01 이상인 Android 기기의 경우 이 보안 출시 노트에 포함된 모든 문제가 해결됩니다.

2. 유형 열의 항목은 무엇을 의미하나요?

취약점 세부정보 표의 유형 열에 있는 항목은 보안 취약점 분류를 뜻합니다.

약어 정의
RCE 원격 코드 실행(Remote code execution)
EoP 권한 승격(Elevation of privilege)
ID 정보 공개(Information disclosure)
DoS 서비스 거부(Denial of service)
해당 사항 없음 분류 없음(Classification not available)

3. 참조 열의 항목은 무엇을 의미하나요?

취약점 세부정보 표의 참조 열에 있는 항목은 참조 값이 속한 조직을 나타내는 접두어를 포함할 수 있습니다.

접두어 참조
A- Android 버그 ID

버전

버전 날짜 참고
1.0 2022년 7월 25일 보안 출시 노트가 게시됨
1.1 2022년 8월 8일 문제 목록이 업데이트됨
1.2 2022년 9월 21일 문제 목록이 업데이트됨
1.3 2022년 10월 11일 문제 목록이 업데이트됨
1.4 2022년 3월 28일 문제 목록이 업데이트됨