В примечаниях к выпуску системы безопасности Android содержится подробная информация об уязвимостях безопасности, затрагивающих устройства Android, которые устранены в рамках Android 13. Устройства Android 13 с уровнем исправления безопасности от 01 сентября 2022 г. или более поздней версии защищены от этих проблем (Android 13, выпущенный AOSP будет иметь уровень исправлений безопасности по умолчанию — 01 сентября 2022 г.). Чтобы узнать, как проверить уровень исправлений безопасности устройства, см. раздел Проверка и обновление версии Android .
Партнеры Android уведомляются обо всех проблемах до публикации. Исправления исходного кода для этих проблем будут выпущены в репозиторий Android Open Source Project (AOSP) как часть выпуска Android 13.
Оценка серьезности проблем в этих примечаниях к выпуску основана на влиянии, которое эксплуатация уязвимости может оказать на затронутое устройство, при условии, что платформа и средства смягчения последствий отключены в целях разработки или успешно обходятся.
У нас не было сообщений об активном использовании клиентами или злоупотреблении этими недавно обнаруженными проблемами. Подробную информацию о средствах защиты платформы Android и Google Play Protect, которые повышают безопасность платформы Android, можно найти в разделе «Меры защиты Android и Google Play Protect».
Объявления
- Проблемы, описанные в этом документе, рассматриваются в Android 13. Эта информация предоставлена для справки и прозрачности.
- Мы хотели бы выразить признательность и поблагодарить сообщество исследователей безопасности за их постоянный вклад в обеспечение безопасности экосистемы Android.
Устранение последствий для Android и сервисов Google
Это краткий обзор мер, обеспечиваемых платформой безопасности Android и средствами защиты служб, такими как Google Play Protect . Эти возможности снижают вероятность успешного использования уязвимостей безопасности на Android.
- Использование многих проблем на Android усложняется из-за усовершенствований в новых версиях платформы Android. Мы рекомендуем всем пользователям по возможности обновиться до последней версии Android.
- Команда безопасности Android активно отслеживает злоупотребления с помощью Google Play Protect и предупреждает пользователей о потенциально вредных приложениях . Google Play Protect включен по умолчанию на устройствах с Google Mobile Services и особенно важен для пользователей, которые устанавливают приложения не из Google Play.
Подробности об уязвимости Android 13
В разделах ниже представлена подробная информация об уязвимостях безопасности, исправленных в Android 13. Уязвимости сгруппированы по компонентам, на которые они влияют, и включают такие сведения, как CVE, связанные ссылки, тип уязвимости и серьезность .
среда выполнения Android
| CVE | Рекомендации | Тип | Строгость |
|---|---|---|---|
| CVE-2013-0340 | А-24901276 | DoS | Умеренный |
Рамки
| CVE | Рекомендации | Тип | Строгость |
|---|---|---|---|
| CVE-2022-20266 | А-211757348 | окончание срока действия | Высокий |
| CVE-2022-20301 | А-200956614 | окончание срока действия | Высокий |
| CVE-2022-20305 | А-199751623 | окончание срока действия | Высокий |
| CVE-2022-20443 | А-194480991 | окончание срока действия | Высокий |
| CVE-2022-20270 | А-209005023 | ИДЕНТИФИКАТОР | Высокий |
| CVE-2022-20294 | А-202160705 | ИДЕНТИФИКАТОР | Высокий |
| CVE-2022-20295 | А-202160584 | ИДЕНТИФИКАТОР | Высокий |
| CVE-2022-20296 | А-201794303 | ИДЕНТИФИКАТОР | Высокий |
| CVE-2022-20298 | А-201416182 | ИДЕНТИФИКАТОР | Высокий |
| CVE-2022-20299 | А-201415895 | ИДЕНТИФИКАТОР | Высокий |
| CVE-2022-20300 | А-200956588 | ИДЕНТИФИКАТОР | Высокий |
| CVE-2022-20303 | А-200573021 | ИДЕНТИФИКАТОР | Высокий |
| CVE-2022-20304 | А-199751919 | ИДЕНТИФИКАТОР | Высокий |
| CVE-2022-20260 | А-220865698 | DoS | Высокий |
| CVE-2022-20246 | А-230493191 | окончание срока действия | Умеренный |
| CVE-2022-20250 | А-226134095 | окончание срока действия | Умеренный |
| CVE-2022-20255 | А-222687217 | окончание срока действия | Умеренный |
| CVE-2022-20268 | А-210468836 | окончание срока действия | Умеренный |
| CVE-2022-20271 | А-207672635 | окончание срока действия | Умеренный |
| CVE-2022-20278 | А-205130113 | окончание срока действия | Умеренный |
| CVE-2022-20281 | А-204083967 | окончание срока действия | Умеренный |
| CVE-2022-20282 | А-204083104 | окончание срока действия | Умеренный |
| CVE-2022-20312 | А-192244925 | окончание срока действия | Умеренный |
| CVE-2022-20331 | А-181785557 | окончание срока действия | Умеренный |
| CVE-2021-0734 | А-189122911 | ИДЕНТИФИКАТОР | Умеренный |
| CVE-2021-0735 | А-188913056 | ИДЕНТИФИКАТОР | Умеренный |
| CVE-2021-0975 | А-180104273 | ИДЕНТИФИКАТОР | Умеренный |
| CVE-2022-20243 | А-190199986 | ИДЕНТИФИКАТОР | Умеренный |
| CVE-2022-20249 | А-226900861 | ИДЕНТИФИКАТОР | Умеренный |
| CVE-2022-20252 | А-224547584 | ИДЕНТИФИКАТОР | Умеренный |
| CVE-2022-20262 | А-218338453 | ИДЕНТИФИКАТОР | Умеренный |
| CVE-2022-20263 | А-217935264 | ИДЕНТИФИКАТОР | Умеренный |
| CVE-2022-20272 | А-207672568 | ИДЕНТИФИКАТОР | Умеренный |
| CVE-2022-20275 | А-205836975 | ИДЕНТИФИКАТОР | Умеренный |
| CVE-2022-20276 | А-205706731 | ИДЕНТИФИКАТОР | Умеренный |
| CVE-2022-20277 | А-205145497 | ИДЕНТИФИКАТОР | Умеренный |
| CVE-2022-20279 | А-204877302 | ИДЕНТИФИКАТОР | Умеренный |
| CVE-2022-20285 | А-230868108 | ИДЕНТИФИКАТОР | Умеренный |
| CVE-2022-20287 | А-204082784 | ИДЕНТИФИКАТОР | Умеренный |
| CVE-2022-20288 | А-204082360 | ИДЕНТИФИКАТОР | Умеренный |
| CVE-2022-20289 | А-203683960 | ИДЕНТИФИКАТОР | Умеренный |
| CVE-2022-20291 | А-203430648 | ИДЕНТИФИКАТОР | Умеренный |
| CVE-2022-20293 | А-202298672 | ИДЕНТИФИКАТОР | Умеренный |
| CVE-2022-20307 | А-198782887 | ИДЕНТИФИКАТОР | Умеренный |
| CVE-2022-20309 | А-194694094 | ИДЕНТИФИКАТОР | Умеренный |
| CVE-2022-20315 | А-191058227 | ИДЕНТИФИКАТОР | Умеренный |
| CVE-2022-20316 | А-190726121 | ИДЕНТИФИКАТОР | Умеренный |
| CVE-2022-20318 | А-194694069 | ИДЕНТИФИКАТОР | Умеренный |
| CVE-2022-20320 | А-187956596 | ИДЕНТИФИКАТОР | Умеренный |
| CVE-2022-20324 | А-187042120 | ИДЕНТИФИКАТОР | Умеренный |
| CVE-2022-20328 | А-184948501 | ИДЕНТИФИКАТОР | Умеренный |
| CVE-2022-20332 | А-180019130 | ИДЕНТИФИКАТОР | Умеренный |
| CVE-2022-20336 | А-177239688 | ИДЕНТИФИКАТОР | Умеренный |
| CVE-2022-20341 | А-162952629 | ИДЕНТИФИКАТОР | Умеренный |
| CVE-2022-20322 | А-187176993 | ИДЕНТИФИКАТОР | Низкий |
| CVE-2022-20323 | А-187176203 | ИДЕНТИФИКАТОР | Низкий |
Медиа-фреймворк
| CVE | Рекомендации | Тип | Строгость |
|---|---|---|---|
| CVE-2022-20290 | А-203549963 | окончание срока действия | Умеренный |
| CVE-2022-20325 | А-186473060 | окончание срока действия | Умеренный |
| CVE-2022-20247 | А-229858836 | ИДЕНТИФИКАТОР | Умеренный |
| CVE-2022-20317 | А-190199063 | ИДЕНТИФИКАТОР | Умеренный |
Упаковка
| CVE | Рекомендации | Тип | Строгость |
|---|---|---|---|
| CVE-2022-20319 | А-189574230 | окончание срока действия | Умеренный |
Платформа
| CVE | Рекомендации | Тип | Строгость |
|---|---|---|---|
| CVE-2022-20302 | А-200746457 | окончание срока действия | Умеренный |
| CVE-2022-20321 | А-187176859 | ИДЕНТИФИКАТОР | Умеренный |
Платформа
| CVE | Рекомендации | Тип | Строгость |
|---|---|---|---|
| CVE-2022-20265 | А-212804898 | окончание срока действия | Умеренный |
Система
| CVE | Рекомендации | Тип | Строгость |
|---|---|---|---|
| CVE-2022-20283 | А-233069336 | РЦЭ | Критический |
| CVE-2022-20362 | А-230756082 | РЦЭ | Критический |
| CVE-2022-20292 | А-202975040 | окончание срока действия | Высокий |
| CVE-2022-20297 | А-201561699 | окончание срока действия | Высокий |
| CVE-2022-20330 | А-181962588 | окончание срока действия | Высокий |
| CVE-2021-0518 | А-176541017 | ИДЕНТИФИКАТОР | Высокий |
| CVE-2022-20245 | А-215005011 | ИДЕНТИФИКАТОР | Высокий |
| CVE-2022-20259 | А-221431393 | ИДЕНТИФИКАТОР | Высокий |
| CVE-2022-20284 | А-231986341 | ИДЕНТИФИКАТОР | Высокий |
| CVE-2022-20326 | А-185235527 | ИДЕНТИФИКАТОР | Высокий |
| CVE-2022-20327 | А-185126813 | ИДЕНТИФИКАТОР | Высокий |
| CVE-2022-20339 | А-171572148 | ИДЕНТИФИКАТОР | Высокий |
| CVE-2022-20244 | А-201083240 | окончание срока действия | Умеренный |
| CVE-2022-20248 | А-227619193 | окончание срока действия | Умеренный |
| CVE-2022-20254 | А-223377547 | окончание срока действия | Умеренный |
| CVE-2022-20256 | А-222572821 | окончание срока действия | Умеренный |
| CVE-2022-20257 | А-222289114 | окончание срока действия | Умеренный |
| CVE-2022-20258 | А-221893030 | окончание срока действия | Умеренный |
| CVE-2022-20267 | А-211646835 | окончание срока действия | Умеренный |
| CVE-2022-20269 | А-209062898 | окончание срока действия | Умеренный |
| CVE-2022-20274 | А-206470146 | окончание срока действия | Умеренный |
| CVE-2022-20286 | А-230866011 | окончание срока действия | Умеренный |
| CVE-2022-20306 | А-199680794 | окончание срока действия | Умеренный |
| CVE-2022-20313 | А-192206329 | окончание срока действия | Умеренный |
| CVE-2022-20314 | А-191876118 | окончание срока действия | Умеренный |
| CVE-2022-20329 | А-183410556 | окончание срока действия | Умеренный |
| CVE-2022-20335 | А-178014725 | окончание срока действия | Умеренный |
| CVE-2022-20241 | А-217185011 | ИДЕНТИФИКАТОР | Умеренный |
| CVE-2022-20242 | А-231986212 | ИДЕНТИФИКАТОР | Умеренный |
| CVE-2022-20251 | А-225881167 | ИДЕНТИФИКАТОР | Умеренный |
| CVE-2022-20261 | А-219835125 | ИДЕНТИФИКАТОР | Умеренный |
| CVE-2022-20273 | А-206478022 | ИДЕНТИФИКАТОР | Умеренный |
| CVE-2022-20280 | А-204117261 | ИДЕНТИФИКАТОР | Умеренный |
| CVE-2022-20310 | А-192663798 | ИДЕНТИФИКАТОР | Умеренный |
| CVE-2022-20311 | А-192663553 | ИДЕНТИФИКАТОР | Умеренный |
| CVE-2022-20340 | А-166269532 | ИДЕНТИФИКАТОР | Умеренный |
| CVE-2022-20342 | А-143534321 | ИДЕНТИФИКАТОР | Умеренный |
| CVE-2022-20253 | А-224545125 | DoS | Умеренный |
| CVE-2022-20308 | А-197874458 | DoS | Умеренный |
| CVE-2022-20333 | А-179161657 | DoS | Умеренный |
| CVE-2022-20334 | А-178800552 | DoS | Умеренный |
Общие вопросы и ответы
В этом разделе даны ответы на распространенные вопросы, которые могут возникнуть после прочтения этого бюллетеня.
1. Как определить, обновлено ли мое устройство для устранения этих проблем?
Чтобы узнать, как проверить уровень исправлений безопасности устройства, см. раздел Проверка и обновление версии Android .
Android 13, выпущенный на AOSP, имеет уровень исправлений безопасности по умолчанию — 01 сентября 2022 г. Устройства Android под управлением Android 13 с уровнем исправления безопасности 01.09.2022 или более поздней версии устраняют все проблемы, содержащиеся в этих примечаниях к выпуску безопасности.
2. Что означают записи в столбце «Тип» ?
Записи в столбце «Тип» таблицы сведений об уязвимости относятся к классификации уязвимости безопасности.
| Сокращение | Определение |
|---|---|
| РЦЭ | Удаленное выполнение кода |
| окончание срока действия | Повышение привилегий |
| ИДЕНТИФИКАТОР | Раскрытие информации |
| DoS | Отказ в обслуживании |
| Н/Д | Классификация недоступна |
3. Что означают записи в столбце «Ссылки» ?
Записи в столбце «Ссылки» таблицы сведений об уязвимостях могут содержать префикс, идентифицирующий организацию, которой принадлежит ссылочное значение.
| Префикс | Ссылка |
|---|---|
| А- | Идентификатор ошибки Android |
Версии
| Версия | Дата | Примечания |
|---|---|---|
| 1.0 | 25 июля 2022 г. | Опубликованы примечания к выпуску безопасности |
| 1.1 | 8 августа 2022 г. | Обновленный список проблем |
| 1.2 | 21 сентября 2022 г. | Обновленный список проблем |
| 1.3 | 11 октября 2022 г. | Обновленный список проблем |
| 1,4 | 28 марта 2022 г. | Обновленный список проблем |
| 1,5 | 29 июня 2023 г. | Обновленный список проблем |