הערות הגרסה בנושא אבטחה ב-Android מכילות פרטים על נקודות חולשה שמשפיעות על מכשירי Android, שטופלו כחלק מ-Android 14. מכשירי Android 14 עם תיקוני אבטחה מרמה 2023-10-01 ואילך מוגנים מפני הבעיות האלה (ב-Android 14 , כפי שפורסם ב-AOSP, תיקוני האבטחה יהיו ברמת 2023-10-01 כברירת מחדל). במאמר איך בודקים מהי גרסת ה-Android ומעדכנים אותה מוסבר איך בודקים את רמת תיקוני האבטחה במכשיר.
שותפים ב-Android מקבלים הודעה על כל הבעיות לפני הפרסום. תיקונים של קוד המקור לבעיות האלה יפורסמו במאגר של פרויקט הקוד הפתוח של Android (AOSP) כחלק מגרסת Android 14.
הערכת חומרת הבעיות בהערות הגרסה האלה מבוססת על ההשפעה שעלולה להיות לניצול הפגיעות במכשיר מושפע, בהנחה שהאמצעים לצמצום הסיכון בפלטפורמה ובשירות מושבתים למטרות פיתוח או אם נעקפו בהצלחה.
לא קיבלנו דיווחים על ניצול או שימוש לרעה של הבעיות החדשות האלה על ידי לקוחות פעילים. בקטע אמצעי ההגנה של Android ו-Google Play Protect מפורטים אמצעי ההגנה של פלטפורמת האבטחה של Android ושל Google Play Protect, שמשפרים את האבטחה של פלטפורמת Android.
הודעות
- הבעיות שמתוארות במסמך הזה נפתרות כחלק מ-Android 14 . המידע הזה מסופק למטרות עיון ושקיפות.
- אנחנו רוצים להודות לקהילת מחקר האבטחה על התרומה המתמשכת שלה לאבטחת המערכת האקולוגית של Android.
אמצעי הגנה ב-Android ובשירותי Google
זהו סיכום של אמצעי ההגנה שמסופקים על ידי פלטפורמת האבטחה של Android ואמצעי ההגנה של השירותים, כמו Google Play Protect. היכולות האלה מצמצמות את הסיכוי שנקודות חולשה באבטחה ינוצלו לרעה ב-Android.
- השיפורים בגרסאות חדשות יותר של פלטפורמת Android מקשים על ניצול של הרבה בעיות ב-Android. מומלץ לכל המשתמשים לעדכן לגרסה האחרונה של Android, אם אפשר.
- צוות האבטחה של Android עוקב באופן פעיל אחרי התנהלות פוגעת באמצעות Google Play Protect ומזהיר משתמשים מפני אפליקציות שעלולות להזיק. Google Play Protect מופעל כברירת מחדל במכשירים עם שירותי Google לנייד, והוא חשוב במיוחד למשתמשים שמתקינים אפליקציות ממקורות אחרים ולא מחנות Google Play.
פרטים על נקודות חולשה ב-Android 14
בקטעים הבאים מפורטות נקודות חולשה באבטחה שתוקנו במסגרת Android 14 . נקודות החולשה מקובצות לפי הרכיב שהן משפיעות עליו, וכוללות פרטים כמו CVE, הפניות למקורות חיצוניים, סוג החולשה וחומרת הבעיה.
Android runtime
| CVE | קובצי עזר | סוג | מידת החומרה |
|---|---|---|---|
| CVE-2022-29824 | A-272276710 | EoP | רחב |
| CVE-2023-21309 | A-266432364 | מזהה | בינונית |
| CVE-2023-21366 | A-265440128 | מזהה | בינונית |
| CVE-2023-21367 | A-265499381 | מזהה | בינונית |
| CVE-2023-21372 | A-262741239 | EoP | בינונית |
| CVE-2023-40101 | A-267617531 | מזהה | בינונית |
Framework
| CVE | קובצי עזר | סוג | מידת החומרה |
|---|---|---|---|
| CVE-2023-21342 | A-232799171 | EoP | רחב |
| CVE-2023-21343 | A-257953844 | EoP | רחב |
| CVE-2023-21351 | A-232798676 | EoP | רחב |
| CVE-2023-21398 | A-274592326 | EoP | רחב |
| CVE-2023-21362 | A-229633537 | DoS | רחב |
| CVE-2023-21364 | A-262595156 | DoS | רחב |
| CVE-2023-21365 | A-262594744 | DoS | רחב |
| CVE-2023-21298 | A-179699722 | EoP | בינונית |
| CVE-2023-21324 | A-197327805 | EoP | בינונית |
| CVE-2023-21328 | A-195963690 | EoP | בינונית |
| CVE-2023-21337 | A-179783499 | EoP | בינונית |
| CVE-2023-21338 | A-179783492 | EoP | בינונית |
| CVE-2023-21341 | A-190694761 | EoP | בינונית |
| CVE-2023-21374 | A-267313135 | EoP | בינונית |
| CVE-2023-21397 | A-245300607 | EoP | בינונית |
| CVE-2022-20264 | A-217561828 | מזהה | בינונית |
| CVE-2022-27404 | A-271684625 | מזהה | בינונית |
| CVE-2023-20907 | A-239415997 | DoS | רחב |
| CVE-2023-20908 | A-239415861 | DoS | רחב |
| CVE-2023-21293 | A-213903886 | מזהה | בינונית |
| CVE-2023-21294 | A-191678586 | מזהה | בינונית |
| CVE-2023-21295 | A-187957189 | מזהה | בינונית |
| CVE-2023-21296 | A-202386106 | מזהה | בינונית |
| CVE-2023-21299 | A-224533639 | מזהה | בינונית |
| CVE-2023-21300 | A-224015938 | מזהה | בינונית |
| CVE-2023-21301 | A-224976267 | מזהה | בינונית |
| CVE-2023-21302 | A-228450093 | מזהה | בינונית |
| CVE-2023-21303 | A-208257145 | מזהה | בינונית |
| CVE-2023-21304 | A-208257015 | מזהה | בינונית |
| CVE-2023-21305 | A-207671082 | מזהה | בינונית |
| CVE-2023-21306 | A-208258924 | מזהה | בינונית |
| CVE-2023-21316 | A-207133734 | מזהה | בינונית |
| CVE-2023-21317 | A-207670653 | מזהה | בינונית |
| CVE-2023-21318 | A-208258815 | מזהה | בינונית |
| CVE-2023-21319 | A-217740016 | מזהה | בינונית |
| CVE-2023-21320 | A-205707373 | מזהה | בינונית |
| CVE-2023-21321 | A-231160336 | מזהה | בינונית |
| CVE-2023-21323 | A-232796464 | מזהה | בינונית |
| CVE-2023-21326 | A-232415364 | מזהה | בינונית |
| CVE-2023-21327 | A-186404361 | מזהה | בינונית |
| CVE-2023-21329 | A-185126503 | מזהה | בינונית |
| CVE-2023-21330 | A-238299601 | מזהה | בינונית |
| CVE-2023-21331 | A-227208010 | מזהה | בינונית |
| CVE-2023-21332 | A-212287294 | מזהה | בינונית |
| CVE-2023-21333 | A-212287061 | מזהה | בינונית |
| CVE-2023-21334 | A-189944359 | מזהה | בינונית |
| CVE-2023-21336 | A-216823971 | מזהה | בינונית |
| CVE-2023-21344 | A-248250734 | מזהה | בינונית |
| CVE-2023-21346 | A-248250674 | מזהה | בינונית |
| CVE-2023-21348 | A-249058614 | מזהה | בינונית |
| CVE-2023-21349 | A-241233589 | מזהה | בינונית |
| CVE-2023-21354 | A-241233630 | מזהה | בינונית |
| CVE-2023-21377 | A-231587164 | מזהה | בינונית |
| CVE-2023-21382 | A-161370118 | מזהה | בינונית |
| CVE-2023-21387 | A-280296227 | מזהה | בינונית |
| CVE-2023-21339 | A-235353864 | DoS | בינונית |
| CVE-2023-21345 | A-249056757 | מזהה | נמוכה |
| CVE-2023-35678 | A-286882367 | EoP | רחב |
| CVE-2023-45780 | A-215212215 | EoP | רחב |
| CVE-2023-45784 | A-447598996 | EoP | רחב |
Media Framework
| CVE | קובצי עזר | סוג | מידת החומרה |
|---|---|---|---|
| CVE-2023-21381 | A-274883119 | EoP | רחב |
| CVE-2023-21355 | A-274815060 | EoP | בינונית |
מערכת
| CVE | קובצי עזר | סוג | מידת החומרה |
|---|---|---|---|
| CVE-2021-39810 | A-212610736 | EoP | רחב |
| CVE-2023-21313 | A-268341970 | EoP | רחב |
| CVE-2023-21358 | A-274447627 | EoP | רחב |
| CVE-2023-21361 | A-277249213 | EoP | רחב |
| CVE-2023-21392 | A-281346084 | EoP | רחב |
| CVE-2023-21312 | A-277915880 | מזהה | רחב |
| CVE-2023-21315 | A-277578150 | מזהה | רחב |
| CVE-2023-21394 | A-273502295 | מזהה | רחב |
| CVE-2023-21356 | A-276975913 | RCE | בינונית |
| CVE-2023-21310 | A-274722163 | EoP | בינונית |
| CVE-2023-21360 | A-242994452 | EoP | בינונית |
| CVE-2023-21370 | A-263948587 | EoP | בינונית |
| CVE-2023-21371 | A-263948508 | EoP | בינונית |
| CVE-2023-21373 | A-277073811 | EoP | בינונית |
| CVE-2023-21375 | A-261071553 | EoP | בינונית |
| CVE-2023-21376 | A-212694314 | EoP | בינונית |
| CVE-2023-21378 | A-257953390 | EoP | בינונית |
| CVE-2023-21380 | A-274722185 | EoP | בינונית |
| CVE-2023-21388 | A-269122009 | EoP | בינונית |
| CVE-2023-21389 | A-278559731 | EoP | בינונית |
| CVE-2023-21390 | A-271849181 | EoP | בינונית |
| CVE-2023-21393 | A-262242946 | EoP | בינונית |
| CVE-2023-21396 | A-232258773 | EoP | בינונית |
| CVE-2022-20531 | A-231988638 | מזהה | בינונית |
| CVE-2023-21308 | A-252764300 | מזהה | בינונית |
| CVE-2023-21314 | A-266433017 | מזהה | בינונית |
| CVE-2023-21325 | A-230755151 | מזהה | בינונית |
| CVE-2023-21335 | A-232938844 | מזהה | בינונית |
| CVE-2023-21340 | A-236813210 | מזהה | בינונית |
| CVE-2023-21347 | A-242171908 | מזהה | בינונית |
| CVE-2023-21350 | A-243792935 | מזהה | בינונית |
| CVE-2023-21352 | A-244155256 | מזהה | בינונית |
| CVE-2023-21353 | A-244155333 | מזהה | בינונית |
| CVE-2023-21357 | A-252996038 | מזהה | בינונית |
| CVE-2023-21359 | A-260726311 | מזהה | בינונית |
| CVE-2023-21368 | A-277288588 | מזהה | בינונית |
| CVE-2023-21379 | A-264921486 | מזהה | בינונית |
| CVE-2023-21383 | A-233607547 | מזהה | בינונית |
| CVE-2023-21384 | A-256590334 | מזהה | בינונית |
| CVE-2023-21385 | A-271458258 | מזהה | בינונית |
| CVE-2023-21395 | A-259939435 | מזהה | בינונית |
| CVE-2023-21311 | A-237289258 | DoS | בינונית |
| CVE-2023-21369 | A-264260808 | DoS | בינונית |
| CVE-2023-21391 | A-278556945 | DoS | בינונית |
| CVE-2023-21386 | A-275552292 | מזהה | בינונית |
| CVE-2023-21297 | A-230733237 | מזהה | בינונית |
| CVE-2023-21307 | A-192475649 | מזהה | רחב |
| CVE-2023-45782 | A-180417661 | מזהה | רחב |
תשובות לשאלות נפוצות
בקטע הזה תמצאו תשובות לשאלות נפוצות שיכולות לעלות אחרי שתקראו את פרטי העדכון הזה.
1. איך אפשר לבדוק אם המכשיר שלי קיבל את העדכון שפותר את הבעיות האלה?
במאמר איך בודקים מהי גרסת ה-Android ומעדכנים אותה מוסבר איך בודקים את רמת תיקוני האבטחה במכשיר.
ב-Android 14 , כפי שפורסם ב-AOSP, רמת תיקון האבטחה שמוגדרת כברירת מחדל היא 2023-10-01. במכשירי Android עם Android 14 ורמת תיקון אבטחה מ-2023-10-01 ואילך, כל הבעיות שמפורטות בהערות האלה על עדכון האבטחה נפתרות.
2. מה המשמעות של הערכים בעמודה סוג?
הערכים בעמודה סוג בטבלת הפרטים של נקודות החולשה מתייחסים לסיווג שלהן.
| קיצור | ההגדרה |
|---|---|
| RCE | הרצת קוד מרחוק |
| EoP | רמת הרשאה גבוהה יותר |
| ID | חשיפת מידע |
| DoS | התקפת מניעת שירות |
| N/A | אין סיווג |
3. מה המשמעות של הערכים בעמודה הפניות למקורות חיצוניים?
מידע על הערכים בעמודה הפניות למקורות חיצוניים בטבלה של פרטי נקודות החולשה: יש מקרים שבהם לערך יש תחילית שמציינת לאיזה ארגון משויך מקור המידע החיצוני.
| תחילית | מקור המידע החיצוני |
|---|---|
| A- | מזהה באג ב-Android |
גרסאות
| הגרסה | תאריך | הערות |
|---|---|---|
| 1.0 | 4 באוקטובר 2023 | תאריך פרסום העדכון |
| 1.1 | 26 באוקטובר 2023 | רשימת הבעיות המעודכנת |
| 1.2 | 9 בנובמבר 2023 | רשימת הבעיות המעודכנת |
| 1.3 | 4 במרץ 2024 | רשימת הבעיות המעודכנת |
| 1.4/td> | 16 בינואר 2026 | רשימת הבעיות המעודכנת |