Ghi chú phát hành bảo mật của Android này chứa thông tin chi tiết về các lỗ hổng bảo mật ảnh hưởng đến thiết bị Android và được giải quyết trong Android 13. Các thiết bị Android 13 có cấp bản vá bảo mật từ ngày 1/9/2022 trở đi được bảo vệ khỏi những vấn đề này (Android 13, khi phát hành trên AOSP, sẽ có cấp bản vá bảo mật mặc định là ngày 1/9/2022). Để tìm hiểu cách kiểm tra cấp bản vá bảo mật của thiết bị, hãy xem bài viết Kiểm tra và cập nhật phiên bản Android.
Các đối tác Android sẽ được thông báo về mọi vấn đề trước khi xuất bản. Các bản vá mã nguồn cho những vấn đề này sẽ được phát hành cho kho lưu trữ Dự án nguồn mở Android (AOSP) trong bản phát hành Android 13.
Đánh giá mức độ nghiêm trọng của các vấn đề trong những ghi chú phát hành này dựa trên ảnh hưởng mà việc khai thác lỗ hổng có thể gây ra cho một thiết bị chịu ảnh hưởng, giả sử các biện pháp giảm thiểu của nền tảng và dịch vụ bị tắt cho mục đích phát triển hoặc nếu bị bỏ qua thành công.
Chúng tôi chưa nhận được báo cáo nào về việc khách hàng đang lợi dụng hoặc lạm dụng những vấn đề mới được báo cáo này. Hãy tham khảo phần Các biện pháp giảm thiểu của Android và Google Play Protect để biết thông tin chi tiết về các biện pháp bảo vệ của nền tảng bảo mật Android và Google Play Protect. Các biện pháp này giúp cải thiện tính bảo mật của nền tảng Android.
Thông báo
- Các vấn đề được mô tả trong tài liệu này sẽ được giải quyết trong Android 13. Thông tin này được cung cấp để tham khảo và đảm bảo tính minh bạch.
- Chúng tôi xin ghi nhận và cảm ơn cộng đồng nghiên cứu bảo mật vì những đóng góp không ngừng của họ cho việc bảo mật hệ sinh thái Android.
Các biện pháp giảm thiểu đối với Android và dịch vụ của Google
Đây là bản tóm tắt về các biện pháp giảm thiểu do nền tảng bảo mật Android và các biện pháp bảo vệ dịch vụ như Google Play Protect cung cấp. Những khả năng này giúp giảm nguy cơ các lỗ hổng bảo mật có thể bị khai thác thành công trên Android.
- Việc khai thác nhiều vấn đề trên Android trở nên khó khăn hơn nhờ những điểm cải tiến trong các phiên bản mới của nền tảng Android. Bạn nên cập nhật lên phiên bản Android mới nhất (nếu có thể).
- Nhóm bảo mật Android tích cực giám sát hành vi sai trái thông qua Google Play Protect và cảnh báo người dùng về Ứng dụng có khả năng gây hại. Google Play Protect được bật theo mặc định trên các thiết bị có Các dịch vụ của Google dành cho thiết bị di động và đặc biệt quan trọng đối với những người dùng cài đặt ứng dụng không phải từ Google Play.
Thông tin chi tiết về lỗ hổng bảo mật của Android 13
Các phần dưới đây cung cấp thông tin chi tiết về các lỗ hổng bảo mật đã được khắc phục trong Android 13. Các lỗ hổng được nhóm theo thành phần mà chúng ảnh hưởng và bao gồm các thông tin chi tiết như CVE, tài liệu tham khảo liên quan, loại lỗ hổng bảo mật và mức độ nghiêm trọng.
Thời gian chạy Android
| CVE | Tài liệu tham khảo | Loại | Mức độ nghiêm trọng |
|---|---|---|---|
| CVE-2013-0340 | A-24901276 | DoS | Vừa phải |
Framework
| CVE | Tài liệu tham khảo | Loại | Mức độ nghiêm trọng |
|---|---|---|---|
| CVE-2022-20266 | A-211757348 | EoP | Cao |
| CVE-2022-20301 | A-200956614 | EoP | Cao |
| CVE-2022-20305 | A-199751623 | EoP | Cao |
| CVE-2022-20443 | A-194480991 | EoP | Cao |
| CVE-2022-20270 | A-209005023 | ID | Cao |
| CVE-2022-20294 | A-202160705 | ID | Cao |
| CVE-2022-20295 | A-202160584 | ID | Cao |
| CVE-2022-20296 | A-201794303 | ID | Cao |
| CVE-2022-20298 | A-201416182 | ID | Cao |
| CVE-2022-20299 | A-201415895 | ID | Cao |
| CVE-2022-20300 | A-200956588 | ID | Cao |
| CVE-2022-20303 | A-200573021 | ID | Cao |
| CVE-2022-20304 | A-199751919 | ID | Cao |
| CVE-2022-20260 | A-220865698 | DoS | Cao |
| CVE-2022-20246 | A-230493191 | EoP | Vừa phải |
| CVE-2022-20250 | A-226134095 | EoP | Vừa phải |
| CVE-2022-20255 | A-222687217 | EoP | Vừa phải |
| CVE-2022-20268 | A-210468836 | EoP | Vừa phải |
| CVE-2022-20271 | A-207672635 | EoP | Vừa phải |
| CVE-2022-20278 | A-205130113 | EoP | Vừa phải |
| CVE-2022-20281 | A-204083967 | EoP | Vừa phải |
| CVE-2022-20282 | A-204083104 | EoP | Vừa phải |
| CVE-2022-20312 | A-192244925 | EoP | Vừa phải |
| CVE-2022-20331 | A-181785557 | EoP | Vừa phải |
| CVE-2021-0734 | A-189122911 | ID | Vừa phải |
| CVE-2021-0735 | A-188913056 | ID | Vừa phải |
| CVE-2021-0975 | A-180104273 | ID | Vừa phải |
| CVE-2022-20243 | A-190199986 | ID | Vừa phải |
| CVE-2022-20249 | A-226900861 | ID | Vừa phải |
| CVE-2022-20252 | A-224547584 | ID | Vừa phải |
| CVE-2022-20262 | A-218338453 | ID | Vừa phải |
| CVE-2022-20263 | A-217935264 | ID | Vừa phải |
| CVE-2022-20272 | A-207672568 | ID | Vừa phải |
| CVE-2022-20275 | A-205836975 | ID | Vừa phải |
| CVE-2022-20276 | A-205706731 | ID | Vừa phải |
| CVE-2022-20277 | A-205145497 | ID | Vừa phải |
| CVE-2022-20279 | A-204877302 | ID | Vừa phải |
| CVE-2022-20285 | A-230868108 | ID | Vừa phải |
| CVE-2022-20287 | A-204082784 | ID | Vừa phải |
| CVE-2022-20288 | A-204082360 | ID | Vừa phải |
| CVE-2022-20289 | A-203683960 | ID | Vừa phải |
| CVE-2022-20291 | A-203430648 | ID | Vừa phải |
| CVE-2022-20293 | A-202298672 | ID | Vừa phải |
| CVE-2022-20307 | A-198782887 | ID | Vừa phải |
| CVE-2022-20309 | A-194694094 | ID | Vừa phải |
| CVE-2022-20315 | A-191058227 | ID | Vừa phải |
| CVE-2022-20316 | A-190726121 | ID | Vừa phải |
| CVE-2022-20318 | A-194694069 | ID | Vừa phải |
| CVE-2022-20320 | A-187956596 | ID | Vừa phải |
| CVE-2022-20324 | A-187042120 | ID | Vừa phải |
| CVE-2022-20328 | A-184948501 | ID | Vừa phải |
| CVE-2022-20332 | A-180019130 | ID | Vừa phải |
| CVE-2022-20336 | A-177239688 | ID | Vừa phải |
| CVE-2022-20341 | A-162952629 | ID | Vừa phải |
| CVE-2022-20322 | A-187176993 | ID | Thấp |
| CVE-2022-20323 | A-187176203 | ID | Thấp |
Media Framework
| CVE | Tài liệu tham khảo | Loại | Mức độ nghiêm trọng |
|---|---|---|---|
| CVE-2022-20290 | A-203549963 | EoP | Vừa phải |
| CVE-2022-20325 | A-186473060 | EoP | Vừa phải |
| CVE-2022-20247 | A-229858836 | ID | Vừa phải |
| CVE-2022-20317 | A-190199063 | ID | Vừa phải |
Gói
| CVE | Tài liệu tham khảo | Loại | Mức độ nghiêm trọng |
|---|---|---|---|
| CVE-2022-20319 | A-189574230 | EoP | Vừa phải |
Nền tảng
| CVE | Tài liệu tham khảo | Loại | Mức độ nghiêm trọng |
|---|---|---|---|
| CVE-2022-20302 | A-200746457 | EoP | Vừa phải |
| CVE-2022-20321 | A-187176859 | ID | Vừa phải |
Nền tảng
| CVE | Tài liệu tham khảo | Loại | Mức độ nghiêm trọng |
|---|---|---|---|
| CVE-2022-20265 | A-212804898 | EoP | Vừa phải |
Hệ thống
| CVE | Tài liệu tham khảo | Loại | Mức độ nghiêm trọng |
|---|---|---|---|
| CVE-2022-20283 | A-233069336 | RCE | Quan trọng |
| CVE-2022-20362 | A-230756082 | RCE | Quan trọng |
| CVE-2022-20292 | A-202975040 | EoP | Cao |
| CVE-2022-20297 | A-201561699 | EoP | Cao |
| CVE-2022-20330 | A-181962588 | EoP | Cao |
| CVE-2021-0518 | A-176541017 | ID | Cao |
| CVE-2022-20245 | A-215005011 | ID | Cao |
| CVE-2022-20259 | A-221431393 | ID | Cao |
| CVE-2022-20284 | A-231986341 | ID | Cao |
| CVE-2022-20326 | A-185235527 | ID | Cao |
| CVE-2022-20327 | A-185126813 | ID | Cao |
| CVE-2022-20339 | A-171572148 | ID | Cao |
| CVE-2022-20244 | A-201083240 | EoP | Vừa phải |
| CVE-2022-20248 | A-227619193 | EoP | Vừa phải |
| CVE-2022-20254 | A-223377547 | EoP | Vừa phải |
| CVE-2022-20256 | A-222572821 | EoP | Vừa phải |
| CVE-2022-20257 | A-222289114 | EoP | Vừa phải |
| CVE-2022-20258 | A-221893030 | EoP | Vừa phải |
| CVE-2022-20267 | A-211646835 | EoP | Vừa phải |
| CVE-2022-20269 | A-209062898 | EoP | Vừa phải |
| CVE-2022-20274 | A-206470146 | EoP | Vừa phải |
| CVE-2022-20286 | A-230866011 | EoP | Vừa phải |
| CVE-2022-20306 | A-199680794 | EoP | Vừa phải |
| CVE-2022-20313 | A-192206329 | EoP | Vừa phải |
| CVE-2022-20314 | A-191876118 | EoP | Vừa phải |
| CVE-2022-20329 | A-183410556 | EoP | Vừa phải |
| CVE-2022-20335 | A-178014725 | EoP | Vừa phải |
| CVE-2022-20241 | A-217185011 | ID | Vừa phải |
| CVE-2022-20242 | A-231986212 | ID | Vừa phải |
| CVE-2022-20251 | A-225881167 | ID | Vừa phải |
| CVE-2022-20261 | A-219835125 | ID | Vừa phải |
| CVE-2022-20273 | A-206478022 | ID | Vừa phải |
| CVE-2022-20280 | A-204117261 | ID | Vừa phải |
| CVE-2022-20310 | A-192663798 | ID | Vừa phải |
| CVE-2022-20311 | A-192663553 | ID | Vừa phải |
| CVE-2022-20340 | A-166269532 | ID | Vừa phải |
| CVE-2022-20342 | A-143534321 | ID | Vừa phải |
| CVE-2022-20253 | A-224545125 | DoS | Vừa phải |
| CVE-2022-20308 | A-197874458 | DoS | Vừa phải |
| CVE-2022-20333 | A-179161657 | DoS | Vừa phải |
| CVE-2022-20334 | A-178800552 | DoS | Vừa phải |
Câu hỏi và câu trả lời thường gặp
Phần này giải đáp những câu hỏi thường gặp có thể xuất hiện sau khi bạn đọc bản tin này.
1. Làm cách nào để xác định xem thiết bị của tôi đã được cập nhật để giải quyết những vấn đề này hay chưa?
Để tìm hiểu cách kiểm tra cấp bản vá bảo mật của thiết bị, hãy xem bài viết Kiểm tra và cập nhật phiên bản Android.
Android 13 (được phát hành trên AOSP) có cấp bản vá bảo mật mặc định là 2022-09-01. Các thiết bị Android chạy Android 13 và có bản vá bảo mật cấp 2022-09-01 trở lên sẽ giải quyết tất cả các vấn đề có trong các ghi chú phát hành bảo mật này.
2. Các mục trong cột Loại có nghĩa là gì?
Các mục trong cột Loại của bảng chi tiết về lỗ hổng bảo mật tham chiếu đến việc phân loại lỗ hổng bảo mật.
| Từ viết tắt | Định nghĩa |
|---|---|
| RCE | Thực thi mã từ xa |
| EoP | Nâng cao đặc quyền |
| ID | Tiết lộ thông tin |
| DoS | Từ chối dịch vụ |
| Không áp dụng | Không có thông tin phân loại |
3. Các mục trong cột Tài liệu tham khảo có nghĩa là gì?
Các mục trong cột Tài liệu tham khảo của bảng chi tiết về lỗ hổng bảo mật có thể chứa một tiền tố xác định tổ chức mà giá trị tham chiếu thuộc về.
| Tiền tố | Tài liệu tham khảo |
|---|---|
| A- | Mã lỗi Android |
Phiên bản
| Phiên bản | Ngày | Ghi chú |
|---|---|---|
| 1.0 | Ngày 25 tháng 7 năm 2022 | Đã xuất bản ghi chú phát hành về bảo mật |
| 1.1 | Ngày 8 tháng 8 năm 2022 | Danh sách vấn đề đã được cập nhật |
| 1.2 | Ngày 21 tháng 9 năm 2022 | Danh sách vấn đề đã được cập nhật |
| 1.3 | Ngày 11 tháng 10 năm 2022 | Danh sách vấn đề đã được cập nhật |
| 1.4 | Ngày 28 tháng 3 năm 2022 | Danh sách vấn đề đã được cập nhật |
| 1,5 | Ngày 29 tháng 6 năm 2023 | Danh sách vấn đề đã được cập nhật |