這份 Android 安全性版本資訊列舉對 Android 裝置造成影響的安全漏洞,並說明相關細節。這些漏洞已在 Android 13 中解決。如果 Android 13 裝置的安全性修補程式等級在 2022-09-01 之後,就不受這些問題影響。在 Android 開放原始碼計畫中,Android 13 的預設安全性修補程式等級為 2022-09-01。請參閱關於檢查及更新 Android 版本的說明文章,瞭解如何查看裝置的安全性修補程式等級。
Android 的合作夥伴會提前收到公告中所有問題的相關通知。這些問題的原始碼修補程式將隨 Android 13 發布到 Android 開放原始碼計畫 (AOSP) 存放區。
版本資訊所列中的安全漏洞嚴重程度評定標準,是假設平台與服務的因應防護措施因開發作業而遭關閉,或遭到有心人士成功規避,然後推算有人惡意運用漏洞時,使用者的裝置可能會受到多大的影響,據此評定漏洞的嚴重程度。
目前還沒有客戶指出這些新漏洞遭到明顯濫用。請參閱「Android 和 Google Play 安全防護機制的資安因應措施」,進一步瞭解有助提高 Android 平台安全性的 Android 安全性平台防護功能和 Google Play 安全防護機制。
公告事項
- 本文所述的漏洞已在 Android 13 中解決。我們秉持資訊公開原則提供相關資訊,方便使用者參考。
- 我們在此向安全性研究社群致謝,感謝他們對 Android 生態系統安全性的持續貢獻。
Android 和 Google 服務的資安因應措施
本節概述 Android 安全性平台和 Google Play 安全防護等服務防護機制提供的資安因應措施。此類服務防護可降低有心人士運用安全漏洞攻擊 Android 系統的風險。
- Android 平台持續推出新的版本強化安全性,因此有心人士越來越難在 Android 系統發動漏洞攻擊。我們建議所有使用者盡可能更新至最新版的 Android。
- Android 安全性團隊透過 Google Play 安全防護主動監控濫用情形,並向使用者警告可能有害的應用程式。在預設情況下,搭載 Google 行動服務的裝置會自動啟用 Google Play 安全防護。使用者如果不是從 Google Play 安裝應用程式,這項防護服務格外重要。
Android 13 安全漏洞詳情
下列各節詳列 Android 134 中已解決的安全漏洞。我們依照資安問題影響的元件將安全漏洞分門別類,並附上詳細資料,例如 CVE、相關參考資料、漏洞類型和嚴重程度。
Android 執行階段
| CVE | 參考資料 | 類型 | 嚴重程度 |
|---|---|---|---|
| CVE-2013-0340 | A-24901276 | DoS | 中 |
架構
| CVE | 參考資料 | 類型 | 嚴重程度 |
|---|---|---|---|
| CVE-2022-20266 | A-211757348 | EoP | 高 |
| CVE-2022-20301 | A-200956614 | EoP | 高 |
| CVE-2022-20305 | A-199751623 | EoP | 高 |
| CVE-2022-20443 | A-194480991 | EoP | 高 |
| CVE-2022-20270 | A-209005023 | ID | 高 |
| CVE-2022-20294 | A-202160705 | ID | 高 |
| CVE-2022-20295 | A-202160584 | ID | 高 |
| CVE-2022-20296 | A-201794303 | ID | 高 |
| CVE-2022-20298 | A-201416182 | ID | 高 |
| CVE-2022-20299 | A-201415895 | ID | 高 |
| CVE-2022-20300 | A-200956588 | ID | 高 |
| CVE-2022-20303 | A-200573021 | ID | 高 |
| CVE-2022-20304 | A-199751919 | ID | 高 |
| CVE-2022-20260 | A-220865698 | DoS | 高 |
| CVE-2022-20246 | A-230493191 | EoP | 中 |
| CVE-2022-20250 | A-226134095 | EoP | 中 |
| CVE-2022-20255 | A-222687217 | EoP | 中 |
| CVE-2022-20268 | A-210468836 | EoP | 中 |
| CVE-2022-20271 | A-207672635 | EoP | 中 |
| CVE-2022-20278 | A-205130113 | EoP | 中 |
| CVE-2022-20281 | A-204083967 | EoP | 中 |
| CVE-2022-20282 | A-204083104 | EoP | 中 |
| CVE-2022-20312 | A-192244925 | EoP | 中 |
| CVE-2022-20331 | A-181785557 | EoP | 中 |
| CVE-2021-0734 | A-189122911 | ID | 中 |
| CVE-2021-0735 | A-188913056 | ID | 中 |
| CVE-2021-0975 | A-180104273 | ID | 中 |
| CVE-2022-20243 | A-190199986 | ID | 中 |
| CVE-2022-20249 | A-226900861 | ID | 中 |
| CVE-2022-20252 | A-224547584 | ID | 中 |
| CVE-2022-20262 | A-218338453 | ID | 中 |
| CVE-2022-20263 | A-217935264 | ID | 中 |
| CVE-2022-20272 | A-207672568 | ID | 中 |
| CVE-2022-20275 | A-205836975 | ID | 中 |
| CVE-2022-20276 | A-205706731 | ID | 中 |
| CVE-2022-20277 | A-205145497 | ID | 中 |
| CVE-2022-20279 | A-204877302 | ID | 中 |
| CVE-2022-20285 | A-230868108 | ID | 中 |
| CVE-2022-20287 | A-204082784 | ID | 中 |
| CVE-2022-20288 | A-204082360 | ID | 中 |
| CVE-2022-20289 | A-203683960 | ID | 中 |
| CVE-2022-20291 | A-203430648 | ID | 中 |
| CVE-2022-20293 | A-202298672 | ID | 中 |
| CVE-2022-20307 | A-198782887 | ID | 中 |
| CVE-2022-20309 | A-194694094 | ID | 中 |
| CVE-2022-20315 | A-191058227 | ID | 中 |
| CVE-2022-20316 | A-190726121 | ID | 中 |
| CVE-2022-20318 | A-194694069 | ID | 中 |
| CVE-2022-20320 | A-187956596 | ID | 中 |
| CVE-2022-20324 | A-187042120 | ID | 中 |
| CVE-2022-20328 | A-184948501 | ID | 中 |
| CVE-2022-20332 | A-180019130 | ID | 中 |
| CVE-2022-20336 | A-177239688 | ID | 中 |
| CVE-2022-20341 | A-162952629 | ID | 中 |
| CVE-2022-20322 | A-187176993 | ID | 低 |
| CVE-2022-20323 | A-187176203 | ID | 低 |
媒體架構
| CVE | 參考資料 | 類型 | 嚴重程度 |
|---|---|---|---|
| CVE-2022-20290 | A-203549963 | EoP | 中 |
| CVE-2022-20325 | A-186473060 | EoP | 中 |
| CVE-2022-20247 | A-229858836 | ID | 中 |
| CVE-2022-20317 | A-190199063 | ID | 中 |
套件
| CVE | 參考資料 | 類型 | 嚴重程度 |
|---|---|---|---|
| CVE-2022-20319 | A-189574230 | EoP | 中 |
平台
| CVE | 參考資料 | 類型 | 嚴重程度 |
|---|---|---|---|
| CVE-2022-20302 | A-200746457 | EoP | 中 |
| CVE-2022-20321 | A-187176859 | ID | 中 |
平台
| CVE | 參考資料 | 類型 | 嚴重程度 |
|---|---|---|---|
| CVE-2022-20265 | A-212804898 | EoP | 中 |
系統
| CVE | 參考資料 | 類型 | 嚴重程度 |
|---|---|---|---|
| CVE-2022-20283 | A-233069336 | RCE | 最高 |
| CVE-2022-20362 | A-230756082 | RCE | 最高 |
| CVE-2022-20292 | A-202975040 | EoP | 高 |
| CVE-2022-20297 | A-201561699 | EoP | 高 |
| CVE-2022-20330 | A-181962588 | EoP | 高 |
| CVE-2021-0518 | A-176541017 | ID | 高 |
| CVE-2022-20245 | A-215005011 | ID | 高 |
| CVE-2022-20259 | A-221431393 | ID | 高 |
| CVE-2022-20284 | A-231986341 | ID | 高 |
| CVE-2022-20326 | A-185235527 | ID | 高 |
| CVE-2022-20327 | A-185126813 | ID | 高 |
| CVE-2022-20339 | A-171572148 | ID | 高 |
| CVE-2022-20244 | A-201083240 | EoP | 中 |
| CVE-2022-20248 | A-227619193 | EoP | 中 |
| CVE-2022-20254 | A-223377547 | EoP | 中 |
| CVE-2022-20256 | A-222572821 | EoP | 中 |
| CVE-2022-20257 | A-222289114 | EoP | 中 |
| CVE-2022-20258 | A-221893030 | EoP | 中 |
| CVE-2022-20267 | A-211646835 | EoP | 中 |
| CVE-2022-20269 | A-209062898 | EoP | 中 |
| CVE-2022-20274 | A-206470146 | EoP | 中 |
| CVE-2022-20286 | A-230866011 | EoP | 中 |
| CVE-2022-20306 | A-199680794 | EoP | 中 |
| CVE-2022-20313 | A-192206329 | EoP | 中 |
| CVE-2022-20314 | A-191876118 | EoP | 中 |
| CVE-2022-20329 | A-183410556 | EoP | 中 |
| CVE-2022-20335 | A-178014725 | EoP | 中 |
| CVE-2022-20241 | A-217185011 | ID | 中 |
| CVE-2022-20242 | A-231986212 | ID | 中 |
| CVE-2022-20251 | A-225881167 | ID | 中 |
| CVE-2022-20261 | A-219835125 | ID | 中 |
| CVE-2022-20273 | A-206478022 | ID | 中 |
| CVE-2022-20280 | A-204117261 | ID | 中 |
| CVE-2022-20310 | A-192663798 | ID | 中 |
| CVE-2022-20311 | A-192663553 | ID | 中 |
| CVE-2022-20340 | A-166269532 | ID | 中 |
| CVE-2022-20342 | A-143534321 | ID | 中 |
| CVE-2022-20253 | A-224545125 | DoS | 中 |
| CVE-2022-20308 | A-197874458 | DoS | 中 |
| CVE-2022-20333 | A-179161657 | DoS | 中 |
| CVE-2022-20334 | A-178800552 | DoS | 中 |
常見問題與解答
如果您在閱讀這篇公告後有任何疑問,可參考本節的常見問答。
1. 如何判斷我目前的裝置軟體版本是否已修正這些問題?
請參閱關於檢查及更新 Android 版本的說明文章,瞭解如何查看裝置的安全性修補程式等級。
透過 Android 開放原始碼計畫發布的 Android 13 預設安全性修補程式等級為 2022-09-01。如果 Android 13 裝置使用 2022-09-01 之後的安全性修補程式等級,就已經解決這些安全性版本資訊提到的所有問題。
2.「類型」欄中的項目代表什麼意義?
在安全漏洞詳情表格中,「類型」欄中的項目代表安全漏洞類別。
| 縮寫 | 定義 |
|---|---|
| RCE | 遠端程式碼執行 |
| EoP | 權限提升 |
| ID | 資訊外洩 |
| DoS | 阻斷服務 |
| 無 | 未分類 |
3.「參考資料」欄底下列出的識別碼代表什麼意義?
在安全漏洞詳情表格中,「參考資料」欄的項目可能包含前置字串,表示該參考資料值所屬的機構。
| 前置字串 | 參考資料 |
|---|---|
| A- | Android 錯誤 ID |
版本
| 版本 | 日期 | 附註 |
|---|---|---|
| 1.0 | 2022 年 7 月 25 日 | 發布安全性版本資訊 |
| 1.1 | 2022 年 8 月 8 日 | 更新問題清單 |
| 1.2 | 2022 年 9 月 21 日 | 更新問題清單 |
| 1.3 | 2022 年 10 月 11 日 | 更新問題清單 |
| 1.4 | 2022 年 3 月 28 日 | 更新問題清單 |
| 1.5 | 2023 年 6 月 29 日 | 更新問題清單 |