Бюллетень по обновлениям Pixel – декабрь 2022 г.

Дата публикации: 5 декабря 2022 г. | Дата обновления: 22 декабря 2022 г.

В этом бюллетене содержится информация об уязвимостях в защите и об улучшениях функциональных возможностей поддерживаемых устройств Pixel (далее – устройства Google). Все проблемы, перечисленные здесь и в бюллетене по безопасности Android за декабрь 2022 года, устранены в исправлении системы безопасности 2022-12-05 и более новых. Информацию о том, как проверить уровень исправления системы безопасности на устройстве, можно найти в статье о сроках обновления ПО.

Исправление системы безопасности 2022-12-05 получат все поддерживаемые устройства Google. Мы рекомендуем всем пользователям установить перечисленные в бюллетене обновления.

Объявления

  • Помимо исправлений уязвимостей, описанных в бюллетене по безопасности Android за декабрь 2022 года, обновления для устройств Google также содержат исправления проблем, перечисленных ниже.

Исправления системы безопасности

Уязвимости сгруппированы по компонентам, которые они затрагивают. Для каждого случая приведены описание и таблица, где указаны CVE, ссылки, тип уязвимости, уровень серьезности и, если применимо, версии AOSP. Где возможно, мы добавляем к идентификатору ошибки ссылку на опубликованное изменение (например, список AOSP). Если таких изменений несколько, дополнительные ссылки перечислены в квадратных скобках.

Framework

CVE Ссылки Тип Уровень серьезности Обновленные версии AOSP
CVE-2022-20504 A-225878553 EoP Средний 13
CVE-2022-20512 A-238602879 EoP Средний 13
CVE-2022-20514 A-245727875 EoP Средний 13
CVE-2022-20524 A-228523213 EoP Средний 13
CVE-2022-20553 A-244155265 EoP Средний 13
CVE-2022-20554 A-245770596 EoP Средний 13
CVE-2022-20510 A-235822336 ID Средний 13
CVE-2022-20511 A-235821829 ID Средний 13
CVE-2022-20513 A-244569759 ID Средний 13
CVE-2022-20523 A-228222508 ID Средний 13
CVE-2022-20530 A-231585645 ID Средний 13
CVE-2022-20538 A-235601770 ID Средний 13
CVE-2022-20559 A-219739967 ID Средний 13
CVE-2022-20543 A-238178261 [2] [3] DoS Средний 13
CVE-2022-20526 A-229742774 EoP Низкий 13

Media Framework

CVE Ссылки Тип Уровень серьезности Обновленные версии AOSP
CVE-2022-20548 A-240919398 EoP Средний 13
CVE-2022-20528 A-230172711 ID Средний 13

Система

CVE Ссылки Тип Уровень серьезности Обновленные версии AOSP
CVE-2022-42544 A-224545390 EoP Средний 13
CVE-2022-20503 A-224772890 EoP Средний 13
CVE-2022-20505 A-225981754 EoP Средний 13
CVE-2022-20506 A-226133034 EoP Средний 13
CVE-2022-20507 A-246649179 EoP Средний 13
CVE-2022-20508 A-218679614 EoP Средний 13
CVE-2022-20509 A-244713317 EoP Средний 13
CVE-2022-20519 A-224772678 EoP Средний 13
CVE-2022-20520 A-227203202 EoP Средний 13
CVE-2022-20522 A-227470877 EoP Средний 13
CVE-2022-20525 A-229742768 EoP Средний 13
CVE-2022-20529 A-231583603 EoP Средний 13
CVE-2022-20533 A-232798363 EoP Средний 13
CVE-2022-20536 A-235100180 EoP Средний 13
CVE-2022-20537 A-235601169 EoP Средний 13
CVE-2022-20539 A-237291425 EoP Средний 13
CVE-2022-20540 A-237291506 EoP Средний 13
CVE-2022-20544 A-238745070 EoP Средний 13
CVE-2022-20546 A-240266798 EoP Средний 13
CVE-2022-20547 A-240301753 EoP Средний 13
CVE-2022-20549 A-242702451 EoP Средний 13
CVE-2022-20550 A-242845514 EoP Средний 13
CVE-2022-20556 A-246301667 EoP Средний 13
CVE-2022-20557 A-247092734 EoP Средний 13
CVE-2022-20558 A-236264289 EoP Средний 13
CVE-2022-42542 A-231445184 EoP Средний 13
CVE-2022-20199 A-199291025 [2] ID Средний 13
CVE-2022-20515 A-220733496 ID Средний 13
CVE-2022-20516 A-224002331 ID Средний 13
CVE-2022-20517 A-224769956 ID Средний 13
CVE-2022-20518 A-224770203 ID Средний 13
CVE-2022-20527 A-229994861 ID Средний 13
CVE-2022-20535 A-233605242 ID Средний 13
CVE-2022-20541 A-238083126 ID Средний 13
CVE-2022-20552 A-243922806 ID Средний 13
CVE-2022-20555 A-246194233 ID Средний 13
CVE-2022-42535 A-224770183 ID Средний 13
CVE-2022-20521 A-227203684 DoS Средний 13
CVE-2022-20545 A-239368697 DoS Средний 13

Компоненты ядра

Помимо указанных выше исправлений платформы, для устройств Pixel также добавлены исправления системы безопасности Upstream kernel, связанные с переходом на LTS версии 5.10.107.

Подробная информация представлена на странице Общие ядра Android.

CVE Ссылки Тип Уровень серьезности Подкомпонент
CVE-2022-0500 A-228560539
Upstream kernel
EoP Средний Ядро
CVE-2022-1116 A-234020136
Upstream kernel
EoP Средний Ядро
CVE-2022-1419 A-235540888
Upstream kernel
EoP Средний Ядро
CVE-2020-0465 A-160818461
Upstream kernel
EoP Средний Ядро
CVE-2022-20566 A-165329981
Upstream kernel [2]
EoP Средний Bluetooth L2CAP
CVE-2022-20567 A-186777253
Upstream kernel
EoP Средний Ядро
CVE-2022-20568 A-220738351
Upstream kernel
EoP Средний io_uring
CVE-2022-20571 A-234030265
Upstream kernel
EoP Средний dm-verity
CVE-2022-20572 A-234475629
Upstream kernel [2]
EoP Средний dm-verity
CVE-2022-28390 A-228694391
Upstream kernel
EoP Средний Ядро
CVE-2022-30594 A-233438137
Upstream kernel [2] [3]
EoP Средний Ядро
CVE-2022-34494 A-238479990
Upstream kernel
EoP Средний Ядро
CVE-2022-34495 A-238480163
Upstream kernel
EoP Средний Ядро
CVE-2022-1852 A-235183128
Upstream kernel [2]
ID Средний Ядро

Pixel

CVE Ссылки Тип Уровень серьезности Подкомпонент
CVE-2022-20582 A-233645166 * EoP Критический LDFW
CVE-2022-20583 A-234859169 * EoP Критический LDFW
CVE-2022-20584 A-238366009 * EoP Критический TF-A
CVE-2022-20585 A-238716781 * EoP Критический LDFW
CVE-2022-20586 A-238718854 * EoP Критический LDFW
CVE-2022-20587 A-238720411 * EoP Критический LDFW
CVE-2022-20588 A-238785915 * EoP Критический LDFW
CVE-2022-20597 A-243480506 * EoP Критический LDFW
CVE-2022-20598 A-242357514 * EoP Критический LDFW
CVE-2022-20599 A-242332706 * EoP Критический Встроенное ПО Pixel
CVE-2022-42534 A-237838301 * EoP Критический TF-A
CVE-2022-42543 A-249998113 * ID Критический libfdt
CVE-2022-20589 A-238841928 * ID Критический LDFW
CVE-2022-20590 A-238932493 * ID Критический LDFW
CVE-2022-20591 A-238939706 * ID Критический LDFW
CVE-2022-20592 A-238976908 * ID Критический LDFW
CVE-2022-20603 A-219265339 * RCE Высокий Модем
CVE-2022-20607 A-238914868 * RCE Высокий Встроенное ПО для мобильной связи
CVE-2022-20610 A-240462530 * RCE Высокий Мобильный модем Pixel
CVE-2022-20561 A-222162870 * EoP Высокий Аудио
CVE-2022-20564 A-243798789 * EoP Высокий libufdt
CVE-2022-42531 A-231500967 * EoP Высокий TF-A
CVE-2022-20562 A-231630423 * ID Высокий Аудиопроцессор
CVE-2022-20574 A-237582191 * ID Высокий LDFW
CVE-2022-20575 A-237585040 * ID Высокий LDFW
CVE-2022-20602 A-211081867 * ID Высокий Модем
CVE-2022-20604 A-230463606 * ID Высокий Встроенное ПО Exynos
CVE-2022-20608 A-239239246 * ID Высокий Встроенное ПО для мобильной связи
CVE-2022-42529 A-235292841 * ID Высокий Ядро
CVE-2022-42530 A-242331893 * ID Высокий Встроенное ПО Pixel
CVE-2022-42532 A-242332610 * ID Высокий Встроенное ПО Pixel
CVE-2022-20563 A-242067561 * EoP Средний Загрузчик
CVE-2022-20569 A-229258234 * EoP Средний Драйвер контроля температуры Pixel
CVE-2022-20576 A-239701761 * EoP Средний Телефонная связь
CVE-2022-20577 A-241762281 * EoP Средний sitril
CVE-2022-20578 A-243509749 * EoP Средний rild_exynos
CVE-2022-20579 A-243510139 * EoP Средний rild_exynos
CVE-2022-20580 A-243629453 * EoP Средний libufdt
CVE-2022-20581 A-245916120 * EoP Средний Драйвер камеры Pixel
CVE-2022-20594 A-239567689 * EoP Средний Беспроводная зарядка
CVE-2022-20596 A-239700400 * EoP Средний Беспроводная зарядка
CVE-2022-20600 A-239847859 * EoP Средний LWIS
CVE-2022-42501 A-241231403 * EoP Средний rild_exynos
CVE-2022-42502 A-241231970 * EoP Средний rild_exynos
CVE-2022-42503 A-241231983 * EoP Средний rild_exynos
CVE-2022-42504 A-241232209 * EoP Средний rild_exynos
CVE-2022-42505 A-241232492 * EoP Средний rild_exynos
CVE-2022-42506 A-241388399 * EoP Средний rild_exynos
CVE-2022-42507 A-241388774 * EoP Средний rild_exynos
CVE-2022-42508 A-241388966 * EoP Средний rild_exynos
CVE-2022-42509 A-241544307 * EoP Средний rild_exynos
CVE-2022-42510 A-241762656 * EoP Средний rild_exynos
CVE-2022-42511 A-241762712 * EoP Средний rild_exynos
CVE-2022-42513 A-241763204 * EoP Средний rild_exynos
CVE-2022-42518 A-242536278 * EoP Средний rild_exynos
CVE-2022-42519 A-242540694 * EoP Средний rild_exynos
CVE-2022-42520 A-242994270 * EoP Средний rild_exynos
CVE-2022-42521 A-243130019 * EoP Средний rild_exynos
CVE-2022-42523 A-243376893 * EoP Средний rild_exynos
CVE-2022-42525 A-243509750 * EoP Средний rild_exynos
CVE-2022-42526 A-243509880 * EoP Средний rild_exynos
CVE-2022-20560 A-212623833 * ID Средний Ядро
CVE-2022-20570 A-230660904 * ID Средний Модем
CVE-2022-20593 A-239415809 * ID Средний gralloc
CVE-2022-20595 A-239700137 * ID Средний Беспроводная зарядка
CVE-2022-20601 A-204541506 * ID Средний Модем
CVE-2022-20605 A-231722405 * ID Средний Модем
CVE-2022-20606 A-233230674 * ID Средний Модем
CVE-2022-20609 A-239240808 * ID Средний Встроенное ПО для мобильной связи
CVE-2022-42512 A-241763050 * ID Средний rild_exynos
CVE-2022-42514 A-241763298 * ID Средний rild_exynos
CVE-2022-42515 A-241763503 * ID Средний rild_exynos
CVE-2022-42516 A-241763577 * ID Средний rild_exynos
CVE-2022-42517 A-241763682 * ID Средний rild_exynos
CVE-2022-42522 A-243130038 * ID Средний rild_exynos
CVE-2022-42524 A-243401445 * ID Средний Модем
CVE-2022-42527 A-244448906 * DoS Средний Модем

Компоненты Qualcomm

CVE Ссылки Уровень серьезности Подкомпонент
CVE-2022-25677
A-235114749
QC-CR#3122626
QC-CR#3103567
Средний Загрузчик

Компоненты Qualcomm с закрытым исходным кодом

CVE Ссылки Уровень серьезности Подкомпонент
CVE-2021-30348
A-202032128 * Средний Компонент с закрытым исходным кодом
CVE-2022-25675
A-208302286 * Средний Компонент с закрытым исходным кодом

Функциональные исправления

Подробная информация об исправлениях ошибок и улучшениях функциональных возможностей, включенных в этот выпуск, доступна на форуме сообщества Pixel.

Часто задаваемые вопросы

В этом разделе мы отвечаем на вопросы, которые могут возникнуть после прочтения бюллетеня.

1. Как определить, установлено ли на устройство обновление, в котором устранены перечисленные проблемы?

В исправлении 2022-12-05 и более новых устранены все проблемы, соответствующие исправлению системы безопасности 2022-12-05 и всем предыдущим исправлениям. Информацию о том, как проверить уровень исправления системы безопасности на устройстве, можно найти в статье о сроках обновления ПО.

2. Что означают сокращения в столбце Тип?

В этом столбце указан вид уязвимости по следующей классификации:

Сокращение Описание
RCE Удаленное выполнение кода
EoP Повышение привилегий
ID Раскрытие информации
DoS Отказ в обслуживании
Н/Д Классификация недоступна

3. Что означает информация в столбце Ссылки?

В таблицах с описанием уязвимостей есть столбец Ссылки. Каждая запись в нем может содержать префикс, указывающий на источник ссылки и организацию, а именно:

Префикс Значение
A- Идентификатор ошибки Android
QC- Ссылочный номер Qualcomm
M- Ссылочный номер MediaTek
N- Ссылочный номер NVIDIA
B- Ссылочный номер Broadcom
U- Ссылочный номер UNISOC

4. Что означает символ * рядом с идентификатором ошибки Android в столбце Ссылки?

Символ * показывает, что исправление для уязвимости не опубликовано. Необходимое обновление обычно содержится в последних исполняемых файлах драйверов для устройств Pixel. Их можно скачать с сайта Google Developers.

5. Почему одни уязвимости описываются в этом бюллетене, а другие – в бюллетенях по безопасности Android?

В бюллетенях по безопасности Android описаны уязвимости, которые необходимо устранить для соответствия последнему уровню исправления системы безопасности Android. Решать дополнительные проблемы, например перечисленные здесь, для этого не требуется.

Версии

Версия Дата Примечания
1.0 5 декабря 2022 г. Бюллетень опубликован.
1.1 7 декабря 2022 г. Бюллетень обновлен.
1.2 15 декабря 2022 г. Изменена таблица с идентификаторами CVE.
1.3 22 декабря 2022 г. Изменена таблица с идентификаторами CVE.