Publicado em 7 de agosto de 2023
O Boletim de segurança do Wear OS contém detalhes de vulnerabilidades de segurança que afetam a plataforma Wear OS. A atualização completa do Wear OS inclui o nível de patch de segurança de 2023-08-05 ou posterior do Boletim de segurança do Android de agosto de 2023 , além de todos os problemas neste boletim.
Incentivamos todos os clientes a aceitar essas atualizações em seus dispositivos.
O mais grave desses problemas é uma alta vulnerabilidade de segurança no componente Framework que pode levar à escalação local de privilégios sem a necessidade de privilégios de execução adicionais. A interação do usuário não é necessária para a exploração. A avaliação de gravidade é baseada no efeito que a exploração da vulnerabilidade possivelmente teria em um dispositivo afetado, supondo que as atenuações de plataforma e serviço sejam desativadas para fins de desenvolvimento ou se forem contornadas com êxito.
Anúncios
- Além das vulnerabilidades de segurança descritas no Boletim de segurança do Android de agosto de 2023, o Boletim de segurança do Wear OS de agosto de 2023 também contém patches específicos para vulnerabilidades do Wear OS, conforme descrito abaixo.
2023-08-01 detalhes da vulnerabilidade no nível do patch de segurança
Nas seções abaixo, fornecemos detalhes para cada uma das vulnerabilidades de segurança que se aplicam ao nível de patch 2023-08-01. As vulnerabilidades são agrupadas sob o componente que afetam. Os problemas são descritos nas tabelas abaixo e incluem ID CVE, referências associadas, tipo de vulnerabilidade , gravidade e versões AOSP atualizadas (quando aplicável). Quando disponível, vinculamos a alteração pública que tratou do problema ao ID do bug, como a lista de alterações do AOSP. Quando várias alterações se relacionam a um único bug, referências adicionais são vinculadas a números após o ID do bug. Dispositivos com Android 10 e posterior podem receber atualizações de segurança, bem como atualizações do sistema do Google Play .
Estrutura
A vulnerabilidade nesta seção pode levar à escalação local de privilégios sem a necessidade de privilégios de execução adicionais. A interação do usuário não é necessária para a exploração.| CVE | Referências | Tipo | Gravidade | Versões AOSP atualizadas |
|---|---|---|---|---|
| CVE-2023-21229 | A-265431830 | EoP | Alto | 11, 13 |
Plataforma
A vulnerabilidade nesta seção pode levar à divulgação de informações locais sem a necessidade de privilégios de execução adicionais. A interação do usuário não é necessária para a exploração.| CVE | Referências | Tipo | Gravidade | Versões AOSP atualizadas |
|---|---|---|---|---|
| CVE-2023-21230 | A-191680486 | EU IA | Alto | 11, 13 |
Sistema
A vulnerabilidade mais grave nesta seção pode levar à escalação local de privilégios sem a necessidade de privilégios de execução adicionais. A interação do usuário não é necessária para a exploração.| CVE | Referências | Tipo | Gravidade | Versões AOSP atualizadas |
|---|---|---|---|---|
| CVE-2023-21231 | A-187307530 | EoP | Alto | 13 |
| CVE-2023-21234 | A-260859883 | EoP | Alto | 11, 13 |
| CVE-2023-21235 | A-133761964 | EoP | Alto | 11, 13 |
| CVE-2023-35689 | A-265474852 | EoP | Alto | 11, 13 |
| CVE-2023-21232 | A-267251033 | EU IA | Alto | 11, 13 |
| CVE-2023-21233 | A-261073851 | EU IA | Alto | 11 |
Perguntas e respostas comuns
Esta seção responde a perguntas comuns que podem ocorrer após a leitura deste boletim.
1. Como determino se meu dispositivo está atualizado para resolver esses problemas?
Para saber como verificar o nível do patch de segurança de um dispositivo, leia as instruções no cronograma de atualização de dispositivos do Google .
- Os níveis de patch de segurança de 2023-08-01 ou posteriores abordam todos os problemas associados ao nível de patch de segurança 2023-08-01.
Para alguns dispositivos com Android 10 ou posterior, a atualização do sistema do Google Play terá uma string de data que corresponde ao nível do patch de segurança 2023-08-01. Consulte este artigo para obter mais detalhes sobre como instalar atualizações de segurança.
2. O que significam as entradas na coluna Tipo ?
As entradas na coluna Tipo da tabela de detalhes da vulnerabilidade fazem referência à classificação da vulnerabilidade de segurança.
| Abreviação | Definição |
|---|---|
| RCE | Execução remota de código |
| EoP | Elevação de privilégio |
| EU IA | Divulgação de informação |
| DoS | Negação de serviço |
| N / D | Classificação não disponível |
3. O que significam as entradas na coluna Referências ?
As entradas na coluna Referências da tabela de detalhes da vulnerabilidade podem conter um prefixo que identifica a organização à qual o valor de referência pertence.
| Prefixo | Referência |
|---|---|
| A- | ID do bug do Android |
| CQ- | Número de referência da Qualcomm |
| M- | Número de referência da MediaTek |
| N- | Número de referência da NVIDIA |
| B- | Número de referência Broadcom |
| VOCÊ- | Número de referência UNISOC |
Versões
| Versão | Data | Notas |
|---|---|---|
| 1,0 | 7 de agosto de 2023 | Boletim Publicado |
O conteúdo e os exemplos de código nesta página estão sujeitos às licenças descritas na Licença de conteúdo. Java e OpenJDK são marcas registradas da Oracle e/ou suas afiliadas.
Última atualização 2023-10-20 UTC.