Biuletyn bezpieczeństwa systemu Android zawiera szczegółowe informacje na temat luk w zabezpieczeniach urządzeń z systemem Android. Poprawki zabezpieczeń z 2023-08-05 lub nowsze rozwiązują wszystkie te problemy.

Najpoważniejszym z tych problemów jest krytyczna luka w zabezpieczeniach komponentu System, która może prowadzić do zdalnego (proksymalnego/sąsiedniego) wykonania kodu bez konieczności posiadania dodatkowych uprawnień do wykonywania. Interakcja użytkownika nie jest potrzebna do wykorzystania. 

2023-08-01 Szczegóły luk w zabezpieczeniach na poziomie poprawki zabezpieczeń

W poniższych sekcjach podajemy szczegółowe informacje na temat każdej luki w zabezpieczeniach, która dotyczy poziomu poprawki 2023-08-01.

Środowisko wykonawcze Androida

Luka w zabezpieczeniach opisana w tej sekcji może prowadzić do zdalnego ujawnienia informacji bez konieczności posiadania dodatkowych uprawnień do wykonywania. Interakcja użytkownika nie jest potrzebna do wykorzystania.

CVEBibliografiaTypKrytyczność Zaktualizowane wersje AOSP
CVE-2023-21265A-262521447IDWysoka11, 12, 12L, 13

Struktura

Najpoważniejsza luka w zabezpieczeniach opisana w tej sekcji może prowadzić do zdalnego wykonania kodu bez konieczności posiadania dodatkowych uprawnień do wykonywania. Interakcja użytkownika nie jest potrzebna do wykorzystania.

CVEBibliografiaTypKrytycznośćZaktualizowane wersje AOSP
CVE-2023-21287A-278221085RCEWysoka11, 12, 12L, 13
CVE-2023-21269A-271576718EoPWysoka13
CVE-2023-21270A-283006437 [ 2 ]EoPWysoka12, 12L, 13
CVE-2023-21272A-227471459EoPWysoka11, 12, 12L
CVE-2023-21278A-281807669EoPWysoka12, 12L, 13
CVE-2023-21281A-265431505EoPWysoka11, 12, 12L, 13
CVE-2023-21286A-277740082EoPWysoka11, 12, 12L, 13
CVE-2023-21267A-218495634IDWysoka11, 12, 12L, 13
CVE-2023-21276A-213170822IDWysoka12, 12L, 13
CVE-2023-21277A-281018094IDWysoka12, 12L, 13
CVE-2023-21279A-277741109IDWysoka12, 12L, 13
CVE-2023-21283A-280797684 [ 2 ]IDWysoka11, 12, 12L, 13
CVE-2023-21288A-276294099IDWysoka11, 12, 12L, 13
CVE-2023-21289A-272020068IDWysoka11, 12, 12L, 13
CVE-2023-21292A-236688380IDWysoka11, 12, 12L, 13
CVE-2023-21280A-270049379DoSWysoka12, 12L, 13
CVE-2023-21284A-260729089DoSWysoka11, 12, 12L, 13

Ramy mediów

Luka w zabezpieczeniach opisana w tej sekcji może prowadzić do zdalnego wykonania kodu bez konieczności posiadania dodatkowych uprawnień do wykonywania. Do wykorzystania wymagana jest interakcja użytkownika.

CVEBibliografiaTypKrytycznośćZaktualizowane wersje AOSP
CVE-2023-21282A-279766766RCEKrytyczna11, 12, 12L, 13

System

Najpoważniejsza luka w zabezpieczeniach opisana w tej sekcji może prowadzić do zdalnego (bliższego/przyległego) wykonania kodu bez konieczności posiadania dodatkowych uprawnień do wykonywania. Interakcja użytkownika nie jest potrzebna do wykorzystania.

CVEBibliografiaTypKrytycznośćZaktualizowane wersje AOSP
CVE-2023-21273A-272783039RCEKrytyczna11, 12, 12L, 13
CVE-2023-20965A-250574778 [ 2 ] [ 3 ]EoPWysoka13
CVE-2023-21132A-253043218EoPWysoka12, 12L, 13
CVE-2023-21133A-253043502EoPWysoka12, 12L, 13
CVE-2023-21134A-253043495EoPWysoka12, 12L, 13
CVE-2023-21140A-253043490EoPWysoka12, 12L, 13
CVE-2023-21242A-277824547EoPWysoka13
CVE-2023-21275A-278691965EoPWysoka12, 12L, 13
CVE-2023-21271A-269455813IDWysoka12, 12L, 13
CVE-2023-21274A-269456018IDWysoka12, 12L, 13
CVE-2023-21285A-271851153IDWysoka11, 12, 12L, 13
CVE-2023-21268A-264880895DoSWysoka11, 12, 12L, 13
CVE-2023-21290A-264880689DoSWysoka11, 12, 12L, 13

Aktualizacje systemu Google Play

Następujące problemy są zawarte w składnikach Project Mainline.

PodkomponentCVE
Kodeki multimedialneCVE-2023-21282
Kontroler uprawnieńCVE-2023-21132, CVE-2023-21133, CVE-2023-21134, CVE-2023-21140
WiFiCVE-2023-20965, CVE-2023-21242

2023-08-05 Szczegóły luk w zabezpieczeniach na poziomie poprawki zabezpieczeń

W poniższych sekcjach podajemy szczegółowe informacje na temat każdej luki w zabezpieczeniach, która dotyczy poziomu poprawki 2023-08-05.

Najpoważniejsza luka w zabezpieczeniach opisana w tej sekcji może prowadzić do lokalnej eskalacji uprawnień z wymaganymi uprawnieniami do wykonywania systemu. Interakcja użytkownika nie jest potrzebna do wykorzystania.

CVEBibliografiaTypKrytycznośćPodkomponent
CVE-2023-21264A-279739439
Jądro nadrzędne [ 2 ]
EoPKrytycznaKVM
CVE-2020-29374A-174737879
Jądro nadrzędne [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ]
EoPWysokaKROWA

Elementy ramienia

Ta luka dotyczy komponentów Arm, a dalsze szczegóły są dostępne bezpośrednio w Arm. Ocena ważności tego problemu jest dostarczana bezpośrednio przez ARM.

CVEBibliografiaKrytycznośćPodkomponent
CVE-2022-34830A-227655299 *WysokaMali

komponenty MediaTeka

Ta luka dotyczy komponentów MediaTek, a dalsze szczegóły są dostępne bezpośrednio w firmie MediaTek. Ocenę ważności tego problemu zapewnia bezpośrednio firma MediaTek.

CVEBibliografiaKrytycznośćPodkomponent
CVE-2023-20780A-285686353
M-ALPS08017756 *
Wysokainstalacja klucza

Komponenty Qualcomm o zamkniętym kodzie źródłowym

Luki te dotyczą komponentów Qualcomm o zamkniętym kodzie źródłowym i są opisane bardziej szczegółowo w odpowiednim biuletynie lub alercie bezpieczeństwa Qualcomm. Ocena ważności tych problemów jest dostarczana bezpośrednio przez firmę Qualcomm.

CVEBibliografiaKrytycznośćPodkomponent
CVE-2022-40510A-268059589 *KrytycznaKomponent o zamkniętym źródle
CVE-2023-21626A-268060065 *WysokaKomponent o zamkniętym źródle
CVE-2023-22666A-280342037 *WysokaKomponent o zamkniętym źródle
CVE-2023-28537A-280341737 *WysokaKomponent o zamkniętym źródle
CVE-2023-28555A-280342401 *WysokaKomponent o zamkniętym źródle