Дата публикации: 7 августа 2023 г.
В этом бюллетене по безопасности содержится информация об уязвимостях в защите платформы Wear OS. Все проблемы, перечисленные здесь и в бюллетене по безопасности Android за август 2023 года, устранены в исправлении 2023-08-05 и более новых.
Мы рекомендуем установить его всем пользователям.
Самая серьезная из проблем – уязвимость высокого уровня в компоненте Framework, которая позволяет злоумышленнику, не обладающему дополнительными правами на выполнение кода, локально повышать привилегии без взаимодействия с пользователем. Уровень серьезности зависит от того, какой ущерб будет нанесен устройству, если злоумышленник воспользуется уязвимостью и сможет обойти средства защиты или их отключит разработчик.
Объявления
- Помимо исправлений уязвимостей, описанных в бюллетене по безопасности Android за август 2023 года, бюллетень по безопасности Wear OS за август 2023 года содержит исправления проблем, перечисленных ниже.
Описание уязвимостей (исправление системы безопасности 2023-08-01)
В этом разделе вы найдете подробную информацию обо всех уязвимостях, устраненных в исправлении системы безопасности 2023-08-01. Проблемы сгруппированы по компонентам, которые они затрагивают. Для каждого случая приведена таблица, где указаны идентификаторы CVE, ссылки, тип уязвимости, уровень серьезности и, если применимо, версии AOSP. Где возможно, мы добавляем к идентификатору ошибки ссылку на опубликованное изменение (например, список AOSP). Если опубликованных изменений несколько, дополнительные ссылки указаны в квадратных скобках. Устройства с Android 10 или более поздней версией ОС могут получать обновления системы безопасности, а также обновления системы через Google Play.
Framework
Указанная ниже уязвимость позволяет злоумышленнику, не обладающему дополнительными правами на выполнение кода, локально повышать привилегии без взаимодействия с пользователем.CVE | Ссылки | Тип | Уровень серьезности | Обновленные версии AOSP |
---|---|---|---|---|
CVE-2023-21229 | A-265431830 | EoP | Высокий | 11, 13 |
Платформа
Эта уязвимость позволяет злоумышленнику, не обладающему дополнительными правами на выполнение кода, локально раскрывать информацию без взаимодействия с пользователем.CVE | Ссылки | Тип | Уровень серьезности | Обновленные версии AOSP |
---|---|---|---|---|
CVE-2023-21230 | A-191680486 | ID | Высокий | 11, 13 |
Система
Самая серьезная уязвимость позволяет злоумышленнику, не обладающему дополнительными правами на выполнение кода, локально повышать привилегии без взаимодействия с пользователем.CVE | Ссылки | Тип | Уровень серьезности | Обновленные версии AOSP |
---|---|---|---|---|
CVE-2023-21231 | A-187307530 | EoP | Высокий | 13 |
CVE-2023-21234 | A-260859883 | EoP | Высокий | 11, 13 |
CVE-2023-21235 | A-133761964 | EoP | Высокий | 11, 13 |
CVE-2023-35689 | A-265474852 | EoP | Высокий | 11, 13 |
CVE-2023-21232 | A-267251033 | ID | Высокий | 11, 13 |
CVE-2023-21233 | A-261073851 | ID | Высокий | 11 |
Часто задаваемые вопросы
В этом разделе мы отвечаем на вопросы, которые могут возникнуть после прочтения бюллетеня.
1. Как определить, установлено ли на устройстве обновление, в котором устранены перечисленные проблемы?
Информацию о том, как проверить уровень исправления системы безопасности на устройстве, можно найти в статье о сроках обновления ПО.
- В исправлении 2023-08-01 и более поздних устранены все проблемы, соответствующие исправлению системы безопасности 2023-08-01.
В обновлении системы через Google Play для некоторых устройств с Android 10 или более поздней версией ОС будет указана дата, совпадающая с датой исправления 2023-08-01. Подробнее о том, как установить обновления безопасности Android…
2. Что означают сокращения в столбце Тип?
В этом столбце указан тип уязвимости по следующей классификации:
Сокращение | Описание |
---|---|
RCE | Удаленное выполнение кода |
EoP | Повышение привилегий |
ID | Раскрытие информации |
DoS | Отказ в обслуживании |
Н/Д | Классификация недоступна |
3. Что означает информация в столбце Ссылки?
Число в столбце Ссылки – это идентификатор уязвимости, а префикс указывает на источник ссылки (организацию).
Префикс | Значение |
---|---|
A- | Идентификатор ошибки Android |
QC- | Ссылочный номер Qualcomm |
M- | Ссылочный номер MediaTek |
N- | Ссылочный номер NVIDIA |
B- | Ссылочный номер Broadcom |
U- | Ссылочный номер UNISOC |
Версии
Версия | Дата | Примечания |
---|---|---|
1.0 | 7 августа 2023 г. | Бюллетень опубликован. |