Примечания о безопасности к выпуску Android 13

Опубликованы 25 июля 2022 г. | Обновлены 29 июня 2023 г.

В этих примечаниях к выпуску содержится информация об уязвимостях в защите, исправленных в Android 13. Все перечисленные здесь проблемы устранены на устройствах Android 13 с исправлением системы безопасности 2022-09-01 или более новым (исправление 2022-09-01 по умолчанию используется в версии Android 13, опубликованной на сайте AOSP). Сведения о том, как проверить уровень исправления системы безопасности на устройстве, можно найти в статье об обновлении версии Android.

Мы сообщаем партнерам Android обо всех проблемах до публикации бюллетеней. Исправления для устранения указанных уязвимостей в исходном коде будут добавлены в хранилище Android Open Source Project (AOSP) в рамках выпуска Android 13.

Уровень серьезности, указанный в этих примечаниях к выпуску, зависит от того, какой ущерб может быть нанесен устройству, если злоумышленник воспользуется уязвимостью и сможет обойти средства защиты или если эти средства отключит разработчик.

У нас нет информации об активном использовании обнаруженных уязвимостей. Сведения о том, как платформа безопасности Android и Google Play Защита помогают снизить вероятность успешного использования уязвимостей Android, можно найти в разделе Предотвращение атак.

Объявления

  • Проблемы, описанные в этом документе, устранены в Android 13. Сведения о них предоставлены для справки и обеспечения информационной прозрачности.
  • Мы благодарим исследователей в области безопасности за их непрерывную работу, которая помогает обеспечить защиту экосистемы Android.

Предотвращение атак

Здесь описано, как платформа безопасности Android и средства защиты сервисов, например Google Play Защита, позволяют снизить вероятность успешного использования уязвимостей Android.

  • В новых версиях Android сложнее использовать многие уязвимости, поэтому мы рекомендуем всем пользователям своевременно обновлять систему.
  • Команда, отвечающая за безопасность Android, активно отслеживает случаи злоупотребления с помощью Google Play Защиты и предупреждает пользователей об установке потенциально опасных приложений. Google Play Защита по умолчанию включена на телефонах и планшетах, использующих сервисы Google для мобильных устройств. Она особенно важна для тех, кто устанавливает приложения не из Google Play.

Android 13: подробные сведения об уязвимостях

В этом разделе вы найдете подробную информацию обо всех уязвимостях, устраненных в Android 13. Проблемы сгруппированы по компонентам, которые они затрагивают. Для каждого случая указаны CVE, ссылки, тип уязвимости и уровень серьезности.

Android Runtime

CVE Ссылки Тип Уровень серьезности
CVE-2013-0340 A-24901276 DoS Средний

Framework

CVE Ссылки Тип Уровень серьезности
CVE-2022-20266 A-211757348 EoP Высокий
CVE-2022-20301 A-200956614 EoP Высокий
CVE-2022-20305 A-199751623 EoP Высокий
CVE-2022-20443 A-194480991 EoP Высокий
CVE-2022-20270 A-209005023 ID Высокий
CVE-2022-20294 A-202160705 ID Высокий
CVE-2022-20295 A-202160584 ID Высокий
CVE-2022-20296 A-201794303 ID Высокий
CVE-2022-20298 A-201416182 ID Высокий
CVE-2022-20299 A-201415895 ID Высокий
CVE-2022-20300 A-200956588 ID Высокий
CVE-2022-20303 A-200573021 ID Высокий
CVE-2022-20304 A-199751919 ID Высокий
CVE-2022-20260 A-220865698 DoS Высокий
CVE-2022-20246 A-230493191 EoP Средний
CVE-2022-20250 A-226134095 EoP Средний
CVE-2022-20255 A-222687217 EoP Средний
CVE-2022-20268 A-210468836 EoP Средний
CVE-2022-20271 A-207672635 EoP Средний
CVE-2022-20278 A-205130113 EoP Средний
CVE-2022-20281 A-204083967 EoP Средний
CVE-2022-20282 A-204083104 EoP Средний
CVE-2022-20312 A-192244925 EoP Средний
CVE-2022-20331 A-181785557 EoP Средний
CVE-2021-0734 A-189122911 ID Средний
CVE-2021-0735 A-188913056 ID Средний
CVE-2021-0975 A-180104273 ID Средний
CVE-2022-20243 A-190199986 ID Средний
CVE-2022-20249 A-226900861 ID Средний
CVE-2022-20252 A-224547584 ID Средний
CVE-2022-20262 A-218338453 ID Средний
CVE-2022-20263 A-217935264 ID Средний
CVE-2022-20272 A-207672568 ID Средний
CVE-2022-20275 A-205836975 ID Средний
CVE-2022-20276 A-205706731 ID Средний
CVE-2022-20277 A-205145497 ID Средний
CVE-2022-20279 A-204877302 ID Средний
CVE-2022-20285 A-230868108 ID Средний
CVE-2022-20287 A-204082784 ID Средний
CVE-2022-20288 A-204082360 ID Средний
CVE-2022-20289 A-203683960 ID Средний
CVE-2022-20291 A-203430648 ID Средний
CVE-2022-20293 A-202298672 ID Средний
CVE-2022-20307 A-198782887 ID Средний
CVE-2022-20309 A-194694094 ID Средний
CVE-2022-20315 A-191058227 ID Средний
CVE-2022-20316 A-190726121 ID Средний
CVE-2022-20318 A-194694069 ID Средний
CVE-2022-20320 A-187956596 ID Средний
CVE-2022-20324 A-187042120 ID Средний
CVE-2022-20328 A-184948501 ID Средний
CVE-2022-20332 A-180019130 ID Средний
CVE-2022-20336 A-177239688 ID Средний
CVE-2022-20341 A-162952629 ID Средний
CVE-2022-20322 A-187176993 ID Низкий
CVE-2022-20323 A-187176203 ID Низкий

Media Framework

CVE Ссылки Тип Уровень серьезности
CVE-2022-20290 A-203549963 EoP Средний
CVE-2022-20325 A-186473060 EoP Средний
CVE-2022-20247 A-229858836 ID Средний
CVE-2022-20317 A-190199063 ID Средний

Пакет

CVE Ссылки Тип Уровень серьезности
CVE-2022-20319 A-189574230 EoP Средний

Платформа

CVE Ссылки Тип Уровень серьезности
CVE-2022-20302 A-200746457 EoP Средний
CVE-2022-20321 A-187176859 ID Средний

Платформа

CVE Ссылки Тип Уровень серьезности
CVE-2022-20265 A-212804898 EoP Средний

Система

CVE Ссылки Тип Уровень серьезности
CVE-2022-20283 A-233069336 RCE Критический
CVE-2022-20362 A-230756082 RCE Критический
CVE-2022-20292 A-202975040 EoP Высокий
CVE-2022-20297 A-201561699 EoP Высокий
CVE-2022-20330 A-181962588 EoP Высокий
CVE-2021-0518 A-176541017 ID Высокий
CVE-2022-20245 A-215005011 ID Высокий
CVE-2022-20259 A-221431393 ID Высокий
CVE-2022-20284 A-231986341 ID Высокий
CVE-2022-20326 A-185235527 ID Высокий
CVE-2022-20327 A-185126813 ID Высокий
CVE-2022-20339 A-171572148 ID Высокий
CVE-2022-20244 A-201083240 EoP Средний
CVE-2022-20248 A-227619193 EoP Средний
CVE-2022-20254 A-223377547 EoP Средний
CVE-2022-20256 A-222572821 EoP Средний
CVE-2022-20257 A-222289114 EoP Средний
CVE-2022-20258 A-221893030 EoP Средний
CVE-2022-20267 A-211646835 EoP Средний
CVE-2022-20269 A-209062898 EoP Средний
CVE-2022-20274 A-206470146 EoP Средний
CVE-2022-20286 A-230866011 EoP Средний
CVE-2022-20306 A-199680794 EoP Средний
CVE-2022-20313 A-192206329 EoP Средний
CVE-2022-20314 A-191876118 EoP Средний
CVE-2022-20329 A-183410556 EoP Средний
CVE-2022-20335 A-178014725 EoP Средний
CVE-2022-20241 A-217185011 ID Средний
CVE-2022-20242 A-231986212 ID Средний
CVE-2022-20251 A-225881167 ID Средний
CVE-2022-20261 A-219835125 ID Средний
CVE-2022-20273 A-206478022 ID Средний
CVE-2022-20280 A-204117261 ID Средний
CVE-2022-20310 A-192663798 ID Средний
CVE-2022-20311 A-192663553 ID Средний
CVE-2022-20340 A-166269532 ID Средний
CVE-2022-20342 A-143534321 ID Средний
CVE-2022-20253 A-224545125 DoS Средний
CVE-2022-20308 A-197874458 DoS Средний
CVE-2022-20333 A-179161657 DoS Средний
CVE-2022-20334 A-178800552 DoS Средний

Часто задаваемые вопросы

В этом разделе мы отвечаем на вопросы, которые могут возникнуть после прочтения бюллетеня.

1. Как определить, установлено ли на устройстве обновление, в котором устранены перечисленные проблемы?

Информацию о том, как проверить уровень исправления системы безопасности на устройстве, можно найти в статье об обновлении версии Android.

В версии Android 13, опубликованной на сайте AOSP, по умолчанию используется исправление системы безопасности 2022-09-01. На устройствах Android 13 с исправлением 2022-09-01 или более новым устранены все уязвимости, описанные в этих примечаниях к выпуску.

2. Что означают сокращения в столбце Тип?

В этом столбце указан тип уязвимости по следующей классификации:

Сокращение Описание
RCE Удаленное выполнение кода
EoP Повышение привилегий
ID Раскрытие информации
DoS Отказ в обслуживании
Н/Д Классификация недоступна

3. Что означает информация в столбце Ссылки?

В таблицах с описанием уязвимостей есть столбец Ссылки. Каждая запись в нем может содержать префикс, указывающий на источник ссылки, а именно:

Префикс Значение
A- Идентификатор ошибки Android

Версии

Версия Дата Примечания
1.0 25 июля 2022 г. Опубликованы примечания о безопасности к выпуску.
1.1 8 августа 2022 г. Обновлен список проблем.
1.2 21 сентября 2022 г. Обновлен список проблем.
1.3 11 октября 2022 г. Обновлен список проблем.
1,4 28 марта 2023 г. Обновлен список проблем.
1.5 29 июня 2023 г. Обновлен список проблем.