החל מ-27 במרץ 2025, מומלץ להשתמש ב-android-latest-release במקום ב-aosp-main כדי ליצור תרומות ל-AOSP. מידע נוסף זמין במאמר שינויים ב-AOSP.

דף זה תורגם על ידי Cloud Translation API.

עדכון אבטחה דחוף ל-Wear OS – אוגוסט 2023

תאריך פרסום: 7 באוגוסט 2023

עדכון האבטחה של Wear OS מכיל פרטים על נקודות חולשה באבטחה שמשפיעות על פלטפורמת Wear OS. העדכון המלא של Wear OS כולל את תיקון האבטחה ברמה 05 באוגוסט 2023 ואילך מעדכון האבטחה של Android באוגוסט 2023, בנוסף לכל הבעיות שמפורטות בעדכון הזה.

אנחנו ממליצים לכל הלקוחות לאשר את העדכונים האלה במכשירים שלהם.

הבעיה החמורה ביותר היא נקודת חולשה חמורה באבטחה ברכיב Framework, שעלולה להוביל להסלמת הרשאות (privilege escalation) ברמה המקומית ללא צורך בהרשאות הפעלה נוספות. לא נדרשת אינטראקציה של משתמש כדי לנצל את החולשה. הערכת החומרה מבוססת על ההשפעה האפשרית של ניצול נקודת החולשה על המכשיר המושפע, בהנחה שההפחתה של הפלטפורמה והשירות מושבתת למטרות פיתוח או אם היא עוקפת בהצלחה.

הודעות

בנוסף לנקודות החולשה באבטחה שמתוארות בעדכון האבטחה הדחוף של Android באוגוסט 2023, עדכון האבטחה הדחוף של Wear OS באוגוסט 2023 מכיל גם תיקונים ספציפיים לנקודות החולשה ב-Wear OS, כפי שמתואר בהמשך.

פרטי נקודת החולשה ברמת תיקון האבטחה 2023-08-01

בקטעים הבאים מפורטים פרטים על כל נקודת החולשה באבטחה שחלה על רמת התיקון 2023-08-01. נקודות החולשה מקובצות לפי הרכיב שבו הן משפיעות. הבעיות מתוארות בטבלאות הבאות, וכוללות את מזהה ה-CVE, מקורות מידע משויכים, סוג נקודת החולשה, מידת החומרה וגרסאות AOSP מעודכנות (אם רלוונטי). כשהדבר אפשרי, אנחנו מקשרים את השינוי הציבורי שטיפל בבעיה למזהה הבאג, כמו רשימת השינויים ב-AOSP. כשיש כמה שינויים שקשורים לבאג אחד, הפניות נוספות מקושרות למספרים שמופיעים אחרי מזהה הבאג. במכשירים עם Android מגרסה 10 ואילך יכולים להגיע עדכוני אבטחה וגם עדכוני מערכת של Google Play.

Framework

נקודת החולשה בקטע הזה עלולה להוביל להסלמת הרשאות (privilege escalation) מקומית ללא צורך בהרשאות הפעלה נוספות. לא נדרשת אינטראקציה של משתמש כדי לנצל את החולשה.

CVE	קובצי עזר	סוג	מידת החומרה	גרסאות AOSP מעודכנות
CVE-2023-21229	A-265431830	EoP	רחב	11, 13

פלטפורמה

נקודת החולשה בקטע הזה עלולה להוביל לחשיפת מידע מקומי ללא צורך בהרשאות הפעלה נוספות. לא נדרשת אינטראקציה של משתמש כדי לנצל את החולשה.

CVE	קובצי עזר	סוג	מידת החומרה	גרסאות AOSP מעודכנות
CVE-2023-21230	A-191680486	מזהה	רחב	11, 13

מערכת

נקודת החולשה החמורה ביותר בקטע הזה עלולה להוביל להסלמת הרשאות (privilege escalation) מקומית ללא צורך בהרשאות נוספות להפעלה. לא נדרשת אינטראקציה של משתמש כדי לנצל את החולשה.

CVE	קובצי עזר	סוג	מידת החומרה	גרסאות AOSP מעודכנות
CVE-2023-21231	A-187307530	EoP	רחב	13
CVE-2023-21234	A-260859883	EoP	רחב	11, 13
CVE-2023-21235	A-133761964	EoP	רחב	11, 13
CVE-2023-35689	A-265474852	EoP	רחב	11, 13
CVE-2023-21232	A-267251033	מזהה	רחב	11, 13
CVE-2023-21233	A-261073851	מזהה	רחב	11

שאלות נפוצות ותשובות

בקטע הזה נענה על שאלות נפוצות שעשויות להתעורר אחרי קריאת העדכון.

1. איך אפשר לדעת אם המכשיר מעודכן כדי לטפל בבעיות האלה?

במאמר לוח הזמנים של עדכוני המכשירים של Google מוסבר איך בודקים את רמת תיקון האבטחה של מכשיר.

רמות תיקוני האבטחה מ-1 באוגוסט 2023 ואילך מטפלות בכל הבעיות שמשויכות לרמת תיקון האבטחה מ-1 באוגוסט 2023.

במכשירים מסוימים עם Android מגרסה 10 ואילך, למועד של עדכון המערכת של Google Play תהיה מחרוזת תאריך שתתאים לרמה של תיקון האבטחה 01 באוגוסט 2023. במאמר הזה מוסבר איך להתקין עדכוני אבטחה.

2. מה המשמעות של הרשומות בעמודה Type?

הרשומות בעמודה Type בטבלת פרטי נקודת החולשה מתייחסות לסיווג של נקודת החולשה באבטחה.

קיצור	הגדרה
RCE	ביצוע קוד מרחוק
EoP	הסלמת הרשאות
מזהה	חשיפת מידע
DoS	התקפת מניעת שירות (DoS)
לא רלוונטי	הסיווג לא זמין

3. מה המשמעות של הרשומות בעמודה References?

רשומות בעמודה References בטבלת פרטי נקודת החולשה עשויות להכיל קידומת שמזהה את הארגון שאליו שייך ערך ההפניה.

תחילית	חומרי עזר
A-‎	מזהה הבאג ב-Android
QC-‎	מספר הסימוכין של Qualcomm
M-‎	מספר הסימוכין של MediaTek
N-‎	מספר הסימוכין של NVIDIA
B-‎	מספר הסימוכין של Broadcom
U-‎	מספר סימוכין של UNISOC

גרסאות

גרסה	תאריך	הערות
1.0	7 באוגוסט 2023	פורסם עדכון