Biuletyn dotyczący bezpieczeństwa systemu operacyjnego Wear — sierpień 2023 r

Opublikowano 7 sierpnia 2023 r

Biuletyn Bezpieczeństwa Wear OS zawiera szczegółowe informacje na temat luk w zabezpieczeniach platformy Wear OS. Pełna aktualizacja Wear OS obejmuje poprawkę zabezpieczeń w wersji z dnia 2023-08-05 lub nowszą z Biuletynu zabezpieczeń systemu Android z sierpnia 2023 r. oraz wszystkie problemy opisane w tym biuletynie.

Zachęcamy wszystkich klientów do zaakceptowania tych aktualizacji na swoich urządzeniach.

Najpoważniejszym z tych problemów jest duża luka w zabezpieczeniach komponentu Framework, która może prowadzić do lokalnej eskalacji uprawnień bez konieczności posiadania dodatkowych uprawnień do wykonywania. Do wykorzystania nie jest wymagana interakcja użytkownika. Ocena ważności opiera się na możliwym wpływie wykorzystania luki na urządzenie, którego dotyczy luka, przy założeniu, że zabezpieczenia platformy i usług zostaną wyłączone na potrzeby programowania lub jeśli uda się je obejść.

Ogłoszenia

  • Oprócz luk w zabezpieczeniach opisanych w Biuletynie zabezpieczeń Androida z sierpnia 2023 r. Biuletyn zabezpieczeń Wear OS z sierpnia 2023 r. zawiera także poprawki specjalnie dla luk w zabezpieczeniach Wear OS, jak opisano poniżej.

2023-08-01 Szczegóły luki w zabezpieczeniach na poziomie poprawki zabezpieczeń

W poniższych sekcjach podajemy szczegółowe informacje na temat każdej luki w zabezpieczeniach, która ma zastosowanie w wersji poprawki 2023-08-01. Luki są pogrupowane według komponentu, którego dotyczą. Problemy opisano w tabelach poniżej i obejmują identyfikator CVE, powiązane odniesienia, typ luki , wagę i zaktualizowane wersje AOSP (w stosownych przypadkach). Jeśli jest to możliwe, łączymy publiczną zmianę, która rozwiązała problem, z identyfikatorem błędu, np. listą zmian AOSP. Gdy wiele zmian dotyczy jednego błędu, dodatkowe odniesienia są powiązane z liczbami następującymi po identyfikatorze błędu. Urządzenia z Androidem 10 i nowszym mogą otrzymywać aktualizacje zabezpieczeń, a także aktualizacje systemu Google Play .

Struktura

Luka w tej sekcji może prowadzić do lokalnej eskalacji uprawnień bez konieczności posiadania dodatkowych uprawnień do wykonywania. Do wykorzystania nie jest wymagana interakcja użytkownika.
CVE Bibliografia Typ Powaga Zaktualizowane wersje AOSP
CVE-2023-21229 A-265431830 EoP Wysoki 11, 13

Platforma

Luka w tej sekcji może prowadzić do ujawnienia informacji lokalnych bez konieczności posiadania dodatkowych uprawnień do wykonywania. Do wykorzystania nie jest wymagana interakcja użytkownika.
CVE Bibliografia Typ Powaga Zaktualizowane wersje AOSP
CVE-2023-21230 A-191680486 ID Wysoki 11, 13

System

Najpoważniejsza luka w tej sekcji może prowadzić do lokalnej eskalacji uprawnień bez konieczności posiadania dodatkowych uprawnień do wykonywania. Do wykorzystania nie jest wymagana interakcja użytkownika.
CVE Bibliografia Typ Powaga Zaktualizowane wersje AOSP
CVE-2023-21231 A-187307530 EoP Wysoki 13
CVE-2023-21234 A-260859883 EoP Wysoki 11, 13
CVE-2023-21235 A-133761964 EoP Wysoki 11, 13
CVE-2023-35689 A-265474852 EoP Wysoki 11, 13
CVE-2023-21232 A-267251033 ID Wysoki 11, 13
CVE-2023-21233 A-261073851 ID Wysoki 11

Często zadawane pytania i odpowiedzi

W tej sekcji znajdują się odpowiedzi na często zadawane pytania, które mogą pojawić się po przeczytaniu niniejszego biuletynu.

1. Jak sprawdzić, czy moje urządzenie zostało zaktualizowane w celu rozwiązania tych problemów?

Aby dowiedzieć się, jak sprawdzić poziom poprawek zabezpieczeń urządzenia, przeczytaj instrukcje w harmonogramie aktualizacji urządzeń Google .

  • Poziomy poprawek zabezpieczeń 2023-08-01 lub nowsze rozwiązują wszystkie problemy związane z poziomem poprawek zabezpieczeń 2023-08-01.

W przypadku niektórych urządzeń z Androidem 10 lub nowszym aktualizacja systemu Google Play będzie zawierać ciąg daty zgodny z poziomem poprawki zabezpieczeń z dnia 2023-08-01. Więcej informacji na temat instalowania aktualizacji zabezpieczeń można znaleźć w tym artykule .

2. Co oznaczają wpisy w kolumnie Typ ?

Wpisy w kolumnie Typ tabeli szczegółów luki odnoszą się do klasyfikacji luki w zabezpieczeniach.

Skrót Definicja
RCE Zdalne wykonanie kodu
EoP Podniesienie przywilejów
ID Ujawnianie informacji
DoS Odmowa usługi
Nie dotyczy Klasyfikacja niedostępna

3. Co oznaczają wpisy w kolumnie Referencje ?

Wpisy w kolumnie Referencje tabeli szczegółów podatności mogą zawierać przedrostek identyfikujący organizację, do której należy wartość referencyjna.

Prefiks Odniesienie
A- Identyfikator błędu Androida
Kontrola jakości- Numer referencyjny Qualcomma
M- Numer referencyjny MediaTeka
N- Numer referencyjny NVIDIA
B- Numer referencyjny firmy Broadcom
U- Numer referencyjny UNISOC

Wersje

Wersja Data Notatki
1,0 7 sierpnia 2023 r Opublikowano biuletyn