В примечаниях к выпуску системы безопасности Android содержится подробная информация об уязвимостях безопасности, затрагивающих устройства Android, которые устраняются в рамках Android 12L. Устройства Android 12L с уровнем исправления безопасности от 01.03.2022 или более поздней версии защищены от этих проблем (Android 12L, выпущенный на AOSP, будет иметь уровень исправления безопасности по умолчанию 01.03.2022). Чтобы узнать, как проверить уровень исправлений безопасности устройства, см. раздел Проверка и обновление версии Android .
Партнеры Android уведомляются обо всех проблемах до публикации. Исправления исходного кода для этих проблем будут опубликованы в репозитории Android Open Source Project (AOSP) как часть выпуска Android 12L.
Оценка серьезности проблем в этих примечаниях к выпуску основана на влиянии, которое эксплуатация уязвимости может оказать на затронутое устройство, при условии, что платформа и средства смягчения последствий отключены в целях разработки или успешно обходятся.
У нас не было сообщений об активном использовании клиентами или злоупотреблении этими недавно обнаруженными проблемами. Подробную информацию о средствах защиты платформы Android и Google Play Protect, которые повышают безопасность платформы Android, можно найти в разделе «Меры защиты Android и Google Play Protect».
Объявления
- Проблемы, описанные в этом документе, решены в рамках Android 12L. Эта информация предоставлена для справки и прозрачности.
- Мы хотели бы выразить признательность и поблагодарить сообщество исследователей безопасности за их постоянный вклад в обеспечение безопасности экосистемы Android.
Устранение последствий для Android и сервисов Google
Это краткий обзор мер, обеспечиваемых платформой безопасности Android и средствами защиты служб, такими как Google Play Protect . Эти возможности снижают вероятность успешного использования уязвимостей безопасности на Android.
- Использование многих проблем на Android усложняется из-за усовершенствований в новых версиях платформы Android. Мы рекомендуем всем пользователям по возможности обновиться до последней версии Android.
- Команда безопасности Android активно отслеживает злоупотребления с помощью Google Play Protect и предупреждает пользователей о потенциально вредных приложениях . Google Play Protect включен по умолчанию на устройствах с Google Mobile Services и особенно важен для пользователей, которые устанавливают приложения не из Google Play.
Подробности об уязвимости Android 12L
В разделах ниже представлена подробная информация об уязвимостях безопасности, исправленных в Android 12L. Уязвимости сгруппированы по компоненту, на который они влияют, и включают такие сведения, как CVE, связанные ссылки, тип уязвимости и серьезность .
Рамки
| CVE | Рекомендации | Тип | Строгость |
|---|---|---|---|
| CVE-2021-39749 | А-205996115 | окончание срока действия | Высокий |
| CVE-2021-39743 | А-201534884 | окончание срока действия | Умеренный |
| CVE-2021-39746 | А-194696395 | окончание срока действия | Умеренный |
| CVE-2021-39750 | А-206474016 | окончание срока действия | Умеренный |
| CVE-2021-39752 | А-202756848 | окончание срока действия | Умеренный |
| CVE-2022-20002 | А-198657657 | окончание срока действия | Умеренный |
| CVE-2022-20203 | А-199745908 | окончание срока действия | Умеренный |
| CVE-2021-39744 | А-192369136 | ИДЕНТИФИКАТОР | Умеренный |
| CVE-2021-39745 | А-206127671 | ИДЕНТИФИКАТОР | Умеренный |
| CVE-2021-39747 | А-208268457 | ИДЕНТИФИКАТОР | Умеренный |
| CVE-2021-39748 | А-203777141 | ИДЕНТИФИКАТОР | Умеренный |
| CVE-2021-39751 | А-172838801 | ИДЕНТИФИКАТОР | Умеренный |
| CVE-2021-39753 | А-200035185 | ИДЕНТИФИКАТОР | Умеренный |
| CVE-2021-39755 | А-204995407 | ИДЕНТИФИКАТОР | Умеренный |
| CVE-2021-39756 | А-184354287 | ИДЕНТИФИКАТОР | Умеренный |
| CVE-2021-39757 | А-176094662 | ИДЕНТИФИКАТОР | Умеренный |
| CVE-2021-39754 | А-207133709 | Неизвестный | Неизвестный |
Медиа-фреймворк
| CVE | Рекомендации | Тип | Строгость |
|---|---|---|---|
| CVE-2021-39759 | А-180200830 | окончание срока действия | Умеренный |
| CVE-2021-39760 | А-194110526 | ИДЕНТИФИКАТОР | Умеренный |
| CVE-2021-39761 | А-179783181 | ИДЕНТИФИКАТОР | Умеренный |
| CVE-2021-39762 | А-210625816 | ИДЕНТИФИКАТОР | Умеренный |
Платформа
| CVE | Рекомендации | Тип | Строгость |
|---|---|---|---|
| CVE-2021-39741 | А-173567719 | окончание срока действия | Умеренный |
| CVE-2021-39763 | А-199176115 | окончание срока действия | Умеренный |
| CVE-2021-39764 | А-170642995 | окончание срока действия | Умеренный |
| CVE-2021-39767 | А-201308542 | окончание срока действия | Умеренный |
| CVE-2021-39768 | А-202017876 | окончание срока действия | Умеренный |
| CVE-2021-39771 | А-198661951 | окончание срока действия | Умеренный |
| CVE-2021-25393 | А-180518134 | ИДЕНТИФИКАТОР | Умеренный |
| CVE-2021-39739 | А-184525194 | ИДЕНТИФИКАТОР | Умеренный |
| CVE-2021-39740 | А-209965112 | ИДЕНТИФИКАТОР | Умеренный |
| CVE-2021-39742 | А-186405602 | ИДЕНТИФИКАТОР | Умеренный |
| CVE-2021-39765 | А-201535427 | ИДЕНТИФИКАТОР | Умеренный |
| CVE-2021-39766 | А-198296421 | ИДЕНТИФИКАТОР | Умеренный |
| CVE-2021-39769 | А-193663287 | ИДЕНТИФИКАТОР | Умеренный |
| CVE-2021-39770 | А-193033501 | ИДЕНТИФИКАТОР | Умеренный |
Система
| CVE | Рекомендации | Тип | Строгость |
|---|---|---|---|
| CVE-2021-39776 | А-192614125 | окончание срока действия | Высокий |
| CVE-2021-39787 | А-202506934 | окончание срока действия | Высокий |
| CVE-2021-39772 | А-181962322 | окончание срока действия | Умеренный |
| CVE-2021-39780 | А-204992293 | окончание срока действия | Умеренный |
| CVE-2021-39781 | А-195311502 | окончание срока действия | Умеренный |
| CVE-2021-39782 | А-202760015 | окончание срока действия | Умеренный |
| CVE-2021-39783 | А-197960597 | окончание срока действия | Умеренный |
| CVE-2021-39784 | А-200163477 | окончание срока действия | Умеренный |
| CVE-2021-39786 | А-192551247 | окончание срока действия | Умеренный |
| CVE-2021-39789 | А-203880906 | окончание срока действия | Умеренный |
| CVE-2021-39790 | А-186405146 | окончание срока действия | Умеренный |
| CVE-2021-39773 | А-191276656 | ИДЕНТИФИКАТОР | Умеренный |
| CVE-2021-39775 | А-206465854 | ИДЕНТИФИКАТОР | Умеренный |
| CVE-2021-39777 | А-194743207 | ИДЕНТИФИКАТОР | Умеренный |
| CVE-2021-39778 | А-196406138 | ИДЕНТИФИКАТОР | Умеренный |
| CVE-2021-39779 | А-190400974 | ИДЕНТИФИКАТОР | Умеренный |
| CVE-2021-39788 | А-191768014 | ИДЕНТИФИКАТОР | Умеренный |
| CVE-2021-39791 | А-194112606 | ИДЕНТИФИКАТОР | Умеренный |
| CVE-2021-39774 | А-205989472 | DoS | Умеренный |
Дополнительные сведения об уязвимости
В разделе ниже представлены подробные сведения об уязвимостях безопасности, которые предоставляются в целях раскрытия. Эти проблемы не являются обязательными для соблюдения требований SPL.
Андроид ТВ
| CVE | Рекомендации | Тип | Строгость |
|---|---|---|---|
| CVE-2021-1000 | А-185190688 | окончание срока действия | Умеренный |
| CVE-2021-1033 | А-185247656 | окончание срока действия | Умеренный |
Общие вопросы и ответы
В этом разделе даны ответы на распространенные вопросы, которые могут возникнуть после прочтения этого бюллетеня.
1. Как определить, обновлено ли мое устройство для устранения этих проблем?
Чтобы узнать, как проверить уровень исправлений безопасности устройства, см. раздел Проверка и обновление версии Android .
Android 12L, выпущенный на AOSP, имеет уровень исправлений безопасности по умолчанию — 01 марта 2022 г. Устройства Android под управлением Android 12L с уровнем исправления безопасности 01.03.2022 или более поздней версии устраняют все проблемы, описанные в этих примечаниях к выпуску безопасности.
2. Что означают записи в столбце «Тип» ?
Записи в столбце «Тип» таблицы сведений об уязвимости относятся к классификации уязвимости безопасности.
| Сокращение | Определение |
|---|---|
| РЦЭ | Удаленное выполнение кода |
| окончание срока действия | Повышение привилегий |
| ИДЕНТИФИКАТОР | Раскрытие информации |
| DoS | Отказ в обслуживании |
| Н/Д | Классификация недоступна |
3. Что означают записи в столбце «Ссылки» ?
Записи в столбце «Ссылки» таблицы сведений об уязвимостях могут содержать префикс, идентифицирующий организацию, которой принадлежит ссылочное значение.
| Префикс | Ссылка |
|---|---|
| А- | Идентификатор ошибки Android |
Версии
| Версия | Дата | Примечания |
|---|---|---|
| 1.0 | 22 февраля 2022 г. | Опубликованы примечания к выпуску безопасности |
| 1.1 | 27 мая 2022 г. | Обновленный список проблем |
| 1.2 | 8 сентября 2022 г. | Обновленный список проблем |