یادداشت های امنیتی اندروید 14

منتشر شده در 4 اکتبر 2023 | به روز شده در 4 مارس 2023

این یادداشت‌های انتشار امنیتی Android حاوی جزئیات آسیب‌پذیری‌های امنیتی است که بر دستگاه‌های Android تأثیر می‌گذارد که به عنوان بخشی از Android 14 مورد بررسی قرار می‌گیرند. دستگاه‌های Android 14 با سطح وصله امنیتی 2023-10-01 یا بالاتر در برابر این مشکلات محافظت می‌شوند (Android 14، همانطور که در تاریخ منتشر شده است. AOSP، یک سطح وصله امنیتی پیش‌فرض 01-10-2023 خواهد داشت. برای آشنایی با نحوه بررسی سطح وصله امنیتی دستگاه، به بررسی و به‌روزرسانی نسخه Android خود مراجعه کنید.

شرکای Android از همه مشکلات قبل از انتشار مطلع می شوند. وصله کد منبع برای این مشکلات به عنوان بخشی از نسخه اندروید 14 در مخزن پروژه منبع باز Android (AOSP) منتشر می شود.

ارزیابی شدت مشکلات در این یادداشت‌های انتشار بر اساس تأثیری است که احتمالاً بهره‌برداری از آسیب‌پذیری ممکن است بر دستگاه آسیب‌دیده داشته باشد، با این فرض که پلت‌فرم و کاهش خدمات برای اهداف توسعه خاموش شده‌اند یا در صورت دور زدن موفقیت‌آمیز انجام شوند.

ما هیچ گزارشی مبنی بر بهره برداری یا سوء استفاده فعال مشتری از این مشکلات گزارش شده جدید نداشته ایم. برای جزئیات بیشتر در مورد حفاظت های پلتفرم امنیتی اندروید و Google Play Protect که امنیت پلتفرم اندروید را بهبود می بخشد، به بخش کاهش دهنده های Android و Google Play Protect مراجعه کنید.

اطلاعیه ها

  • مشکلات توضیح داده شده در این سند به عنوان بخشی از Android 14 مطرح شده است. این اطلاعات برای مرجع و شفافیت ارائه شده است.
  • مایلیم از جامعه تحقیقاتی امنیتی برای کمک های مستمرشان در جهت ایمن سازی اکوسیستم اندروید قدردانی و تشکر کنیم .

کاهش خدمات اندروید و گوگل

این خلاصه‌ای از کاهش‌های ارائه شده توسط پلتفرم امنیتی Android و محافظت‌های خدماتی مانند Google Play Protect است. این قابلیت ها احتمال سوء استفاده موفقیت آمیز از آسیب پذیری های امنیتی در اندروید را کاهش می دهد.

  • بهره برداری از بسیاری از مسائل در اندروید با پیشرفت در نسخه های جدیدتر پلتفرم اندروید دشوارتر شده است. ما همه کاربران را تشویق می کنیم تا در صورت امکان به آخرین نسخه اندروید بروزرسانی کنند.
  • تیم امنیتی Android به طور فعال از طریق Google Play Protect برای سوء استفاده نظارت می کند و به کاربران در مورد برنامه های بالقوه مضر هشدار می دهد. Google Play Protect به طور پیش‌فرض در دستگاه‌های دارای سرویس‌های Google Mobile فعال است و به ویژه برای کاربرانی که برنامه‌هایی را از خارج از Google Play نصب می‌کنند، مهم است.

جزئیات آسیب پذیری اندروید 14

بخش‌های زیر جزئیات آسیب‌پذیری‌های امنیتی رفع شده به عنوان بخشی از Android 14 را ارائه می‌کنند. آسیب‌پذیری‌ها تحت مؤلفه‌ای که بر آن تأثیر می‌گذارند گروه‌بندی می‌شوند و شامل جزئیاتی مانند CVE، مراجع مرتبط، نوع آسیب‌پذیری و شدت می‌شوند .

زمان اجرا اندروید

CVE منابع تایپ کنید شدت
CVE-2022-29824 الف-272276710 EoP بالا
CVE-2023-21309 الف-266432364 شناسه در حد متوسط
CVE-2023-21366 الف-265440128 شناسه در حد متوسط
CVE-2023-21367 الف-265499381 شناسه در حد متوسط
CVE-2023-21372 الف-262741239 EoP در حد متوسط
CVE-2023-40101 الف-267617531 شناسه در حد متوسط

چارچوب

CVE منابع تایپ کنید شدت
CVE-2023-21342 الف-232799171 EoP بالا
CVE-2023-21343 الف-257953844 EoP بالا
CVE-2023-21351 الف-232798676 EoP بالا
CVE-2023-21398 الف-274592326 EoP بالا
CVE-2023-21362 الف-229633537 DoS بالا
CVE-2023-21364 الف-262595156 DoS بالا
CVE-2023-21365 الف-262594744 DoS بالا
CVE-2023-21298 الف-179699722 EoP در حد متوسط
CVE-2023-21324 الف-197327805 EoP در حد متوسط
CVE-2023-21328 الف-195963690 EoP در حد متوسط
CVE-2023-21337 الف-179783499 EoP در حد متوسط
CVE-2023-21338 الف-179783492 EoP در حد متوسط
CVE-2023-21341 الف-190694761 EoP در حد متوسط
CVE-2023-21374 الف-267313135 EoP در حد متوسط
CVE-2023-21397 الف-245300607 EoP در حد متوسط
CVE-2022-20264 الف-217561828 شناسه در حد متوسط
CVE-2022-27404 الف-271684625 شناسه در حد متوسط
CVE-2023-20907 الف-239415997 DoS بالا
CVE-2023-20908 الف-239415861 DoS بالا
CVE-2023-21293 الف-213903886 شناسه در حد متوسط
CVE-2023-21294 الف-191678586 شناسه در حد متوسط
CVE-2023-21295 الف-187957189 شناسه در حد متوسط
CVE-2023-21296 الف-202386106 شناسه در حد متوسط
CVE-2023-21299 الف-224533639 شناسه در حد متوسط
CVE-2023-21300 الف-224015938 شناسه در حد متوسط
CVE-2023-21301 الف-224976267 شناسه در حد متوسط
CVE-2023-21302 الف-228450093 شناسه در حد متوسط
CVE-2023-21303 الف-208257145 شناسه در حد متوسط
CVE-2023-21304 الف-208257015 شناسه در حد متوسط
CVE-2023-21305 الف-207671082 شناسه در حد متوسط
CVE-2023-21306 الف-208258924 شناسه در حد متوسط
CVE-2023-21316 الف-207133734 شناسه در حد متوسط
CVE-2023-21317 الف-207670653 شناسه در حد متوسط
CVE-2023-21318 الف-208258815 شناسه در حد متوسط
CVE-2023-21319 الف-217740016 شناسه در حد متوسط
CVE-2023-21320 الف-205707373 شناسه در حد متوسط
CVE-2023-21321 الف-231160336 شناسه در حد متوسط
CVE-2023-21323 الف-232796464 شناسه در حد متوسط
CVE-2023-21326 الف-232415364 شناسه در حد متوسط
CVE-2023-21327 الف-186404361 شناسه در حد متوسط
CVE-2023-21329 الف-185126503 شناسه در حد متوسط
CVE-2023-21330 الف-238299601 شناسه در حد متوسط
CVE-2023-21331 الف-227208010 شناسه در حد متوسط
CVE-2023-21332 الف-212287294 شناسه در حد متوسط
CVE-2023-21333 الف-212287061 شناسه در حد متوسط
CVE-2023-21334 الف-189944359 شناسه در حد متوسط
CVE-2023-21336 الف-216823971 شناسه در حد متوسط
CVE-2023-21344 الف-248250734 شناسه در حد متوسط
CVE-2023-21346 الف-248250674 شناسه در حد متوسط
CVE-2023-21348 الف-249058614 شناسه در حد متوسط
CVE-2023-21349 الف-241233589 شناسه در حد متوسط
CVE-2023-21354 الف-241233630 شناسه در حد متوسط
CVE-2023-21377 الف-231587164 شناسه در حد متوسط
CVE-2023-21382 الف-161370118 شناسه در حد متوسط
CVE-2023-21387 الف-280296227 شناسه در حد متوسط
CVE-2023-21339 الف-235353864 DoS در حد متوسط
CVE-2023-21345 الف-249056757 شناسه کم
CVE-2023-35678 الف-286882367 EoP بالا
CVE-2023-45780 الف-215212215 EoP بالا

چارچوب رسانه ای

CVE منابع تایپ کنید شدت
CVE-2023-21381 الف-274883119 EoP بالا
CVE-2023-21355 الف-274815060 EoP در حد متوسط

سیستم

CVE منابع تایپ کنید شدت
CVE-2021-39810 الف-212610736 EoP بالا
CVE-2023-21313 الف-268341970 EoP بالا
CVE-2023-21358 الف-274447627 EoP بالا
CVE-2023-21361 الف-277249213 EoP بالا
CVE-2023-21392 الف-281346084 EoP بالا
CVE-2023-21312 الف-277915880 شناسه بالا
CVE-2023-21315 الف-277578150 شناسه بالا
CVE-2023-21394 الف-273502295 شناسه بالا
CVE-2023-21356 الف-276975913 RCE در حد متوسط
CVE-2023-21310 الف-274722163 EoP در حد متوسط
CVE-2023-21360 الف-242994452 EoP در حد متوسط
CVE-2023-21370 الف-263948587 EoP در حد متوسط
CVE-2023-21371 الف-263948508 EoP در حد متوسط
CVE-2023-21373 الف-277073811 EoP در حد متوسط
CVE-2023-21375 الف-261071553 EoP در حد متوسط
CVE-2023-21376 الف-212694314 EoP در حد متوسط
CVE-2023-21378 الف-257953390 EoP در حد متوسط
CVE-2023-21380 الف-274722185 EoP در حد متوسط
CVE-2023-21388 الف-269122009 EoP در حد متوسط
CVE-2023-21389 الف-278559731 EoP در حد متوسط
CVE-2023-21390 الف-271849181 EoP در حد متوسط
CVE-2023-21393 الف-262242946 EoP در حد متوسط
CVE-2023-21396 الف-232258773 EoP در حد متوسط
CVE-2022-20531 الف-231988638 شناسه در حد متوسط
CVE-2023-21308 الف-252764300 شناسه در حد متوسط
CVE-2023-21314 الف-266433017 شناسه در حد متوسط
CVE-2023-21325 الف-230755151 شناسه در حد متوسط
CVE-2023-21335 الف-232938844 شناسه در حد متوسط
CVE-2023-21340 الف-236813210 شناسه در حد متوسط
CVE-2023-21347 الف-242171908 شناسه در حد متوسط
CVE-2023-21350 الف-243792935 شناسه در حد متوسط
CVE-2023-21352 الف-244155256 شناسه در حد متوسط
CVE-2023-21353 الف-244155333 شناسه در حد متوسط
CVE-2023-21357 الف-252996038 شناسه در حد متوسط
CVE-2023-21359 الف-260726311 شناسه در حد متوسط
CVE-2023-21368 الف-277288588 شناسه در حد متوسط
CVE-2023-21379 الف-264921486 شناسه در حد متوسط
CVE-2023-21383 الف-233607547 شناسه در حد متوسط
CVE-2023-21384 الف-256590334 شناسه در حد متوسط
CVE-2023-21385 الف-271458258 شناسه در حد متوسط
CVE-2023-21395 الف-259939435 شناسه در حد متوسط
CVE-2023-21311 الف-237289258 DoS در حد متوسط
CVE-2023-21369 الف-264260808 DoS در حد متوسط
CVE-2023-21391 الف-278556945 DoS در حد متوسط
CVE-2023-21386 الف-275552292 شناسه در حد متوسط
CVE-2023-21297 الف-230733237 شناسه در حد متوسط
CVE-2023-21307 الف-192475649 شناسه بالا

پرسش و پاسخ متداول

این بخش به سوالات متداولی که ممکن است پس از خواندن این بولتن رخ دهد پاسخ می دهد.

1. چگونه تشخیص دهم که آیا دستگاه من برای رفع این مشکلات به روز شده است؟

برای آشنایی با نحوه بررسی سطح وصله امنیتی دستگاه، به بررسی و به‌روزرسانی نسخه Android خود مراجعه کنید.

اندروید 14، همانطور که در AOSP منتشر شده است، دارای سطح وصله امنیتی پیش فرض 01-10-2023 است. دستگاه‌های اندرویدی دارای Android 14 و دارای وصله امنیتی 2023-10-01 یا بالاتر، همه مشکلات موجود در این یادداشت‌های انتشار امنیتی را برطرف می‌کنند.

2. ورودی های ستون Type به چه معناست؟

ورودی های ستون نوع جدول جزئیات آسیب پذیری به طبقه بندی آسیب پذیری امنیتی اشاره دارد.

مخفف تعریف
RCE اجرای کد از راه دور
EoP بالا بردن امتیاز
شناسه افشای اطلاعات
DoS خود داری از خدمات
N/A طبقه بندی در دسترس نیست

3. ورودی های ستون References به چه معناست؟

ورودی‌های زیر ستون مراجع جدول جزئیات آسیب‌پذیری ممکن است حاوی پیشوندی باشد که سازمانی را که مقدار مرجع به آن تعلق دارد، مشخص می‌کند.

پیشوند ارجاع
آ- شناسه باگ اندروید

نسخه ها

نسخه تاریخ یادداشت
1.0 4 اکتبر 2023 بولتن منتشر شد
1.1 26 اکتبر 2023 لیست مسائل به روز شد
1.2 9 نوامبر 2023 لیست مسائل به روز شد
1.3 4 مارس 2024 لیست مسائل به روز شد