Biuletyn bezpieczeństwa Androida — wrzesień 2022 r.

Biuletyn Android Security Bulletin zawiera szczegółowe informacje na temat luk w zabezpieczeniach urządzeń z systemem Android. Poziomy poprawek zabezpieczeń z 05.09.2022 lub nowsze rozwiązują wszystkie te problemy.

Najpoważniejszym z tych problemów jest luka w zabezpieczeniach o wysokim poziomie bezpieczeństwa w komponencie Framework, która może prowadzić do lokalnej eskalacji uprawnień bez konieczności posiadania dodatkowych uprawnień do wykonywania.

2022-09-01 szczegóły luki w zabezpieczeniach poziomu łatki bezpieczeństwa

 

Środowisko wykonawcze Androida

Najpoważniejsza luka w tej sekcji może prowadzić do lokalnej eskalacji uprawnień bez konieczności posiadania dodatkowych uprawnień do wykonywania.

CVEBibliografiaRodzajKrytycznośćZaktualizowane wersje AOSP
CVE-2022-22822A-219942275EoPWysoki10, 11, 12, 12L
CVE-2022-23852A-221255869EoPWysoki10, 11, 12, 12L
CVE-2022-23990A-221256678EoPWysoki10, 11, 12, 12L
CVE-2022-25314A-221384482EoPWysoki10, 11, 12, 12L

Struktura

Najpoważniejsza luka w tej sekcji może prowadzić do lokalnej eskalacji uprawnień bez konieczności posiadania dodatkowych uprawnień do wykonywania.

CVEBibliografiaRodzajKrytycznośćZaktualizowane wersje AOSP
CVE-2022-20218A-223907044EoPWysoki12, 12L
CVE-2022-20392A-213323615EoPWysoki10, 11, 12, 12L
CVE-2022-20393A-233735886IDWysoki11, 12, 12L
CVE-2022-2019A-208279300EoPUmiarkowany10, 11, 12, 12L
CVE-2020-0500A-154913391IDUmiarkowany10, 11

System

Najpoważniejsza luka w tej sekcji może prowadzić do lokalnej eskalacji uprawnień bez konieczności posiadania dodatkowych uprawnień do wykonywania.

CVEBibliografiaRodzajKrytycznośćZaktualizowane wersje AOSP
CVE-2022-20395A-221855295EoPWysoki11, 12, 12L, 13
CVE-2022-20398A-221859734EoPWysoki13
CVE-2022-20396A-234440688IDWysoki12L, 13

Aktualizacje systemu Google Play

Następujące kwestie są uwzględnione w komponentach Project Mainline.

SkładnikCVE
Kontroler uprawnień, kontroler uprawnieńCVE-2022-20218
MediaProviderCVE-2022-20395
Wi-FiCVE-2022-20398

2022-09-05 szczegóły luki w zabezpieczeniach poziomu łatki bezpieczeństwa

Jądro

Najpoważniejsza luka w tej sekcji może prowadzić do ujawnienia lokalnych informacji o danych sieciowych bez dodatkowych uprawnień do wykonywania.

CVEBibliografiaRodzajKrytycznośćSkładnik
CVE-2022-20399A-219808546
Jądro nadrzędne
IDWysokiSELinux
CVE-2022-23960A-215557547
Jądro pierwotne [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ] [ 12 ] [ 13 ] [ 14 ] [ 15 ] [ 16 ] [ 17 ] [ 18 ] [ 19 ] [ 20 ] [ 21 ] [ 22 ] [ 23 ] [ 24 ] [ 25 ] [ 26 ]
IDWysokiSkładniki jądra

Składniki jądra

Najpoważniejsza luka w tej sekcji może prowadzić do lokalnej eskalacji uprawnień w bibliotekach systemowych bez dodatkowych uprawnień do wykonywania.

CVEBibliografiaRodzajKrytycznośćSkładnik
CVE-2021-4083A-216408350
Jądro nadrzędne
EoPWysokiJądro
CVE-2022-29582A-231494876
Jądro nadrzędne
EoPWysokifs

Technologie wyobraźni

Te luki dotyczą komponentów Imagination Technologies, a dalsze szczegóły można uzyskać bezpośrednio od Imagination Technologies. Ocenę dotkliwości tych problemów zapewnia bezpośrednio Imagination Technologies.

CVEBibliografiaKrytycznośćSkładnik
CVE-2021-0697A-238918403 *WysokiPowerVR-GPU
CVE-2021-0942A-238904312 *WysokiPowerVR-GPU
CVE-2021-0943A-238916921 *WysokiPowerVR-GPU
CVE-2021-0871A-238921253 *WysokiPowerVR-GPU

Komponenty MediaTek

Ta luka dotyczy komponentów MediaTek, a dalsze szczegóły są dostępne bezpośrednio w MediaTek. Ocena dotkliwości tego problemu jest dostarczana bezpośrednio przez MediaTek.

CVEBibliografiaKrytycznośćSkładnik
CVE-2022-26447A-237956326
M-ALPS06784478 *
WysokiOprogramowanie sprzętowe BT

Komponenty Unisoc

Te luki w zabezpieczeniach dotyczą komponentów Unisoc, a dalsze szczegóły są dostępne bezpośrednio w Unisoc. Ocena dotkliwości tych problemów jest dostarczana bezpośrednio przez Unisoc.

CVEBibliografiaKrytycznośćSkładnik
CVE-2022-20385A-238379819
U-1903041 *
Wysokijądro
CVE-2022-20386A-238227328
U-1903099 *
WysokiAndroid
CVE-2022-20387A-238227324
U-1872920 *
WysokiAndroid
CVE-2022-20388A-238227323
U-1872920 *
WysokiAndroid
CVE-2022-20389A-238257004
U-1872920 *
WysokiAndroid
CVE-2022-20390A-238257002
U-1872920 *
WysokiAndroid
CVE-2022-20391A-238257000
U-1872920 *
WysokiAndorid

Komponenty Qualcomm

Te luki w zabezpieczeniach dotyczą składników firmy Qualcomm i zostały opisane bardziej szczegółowo w odpowiednim biuletynie zabezpieczeń lub alercie zabezpieczeń firmy Qualcomm. Ocena dotkliwości tych problemów jest dostarczana bezpośrednio przez Qualcomm.

CVEBibliografiaKrytycznośćSkładnik
CVE-2022-22095A-223210037
QC-CR#3168780
QC-CR#3088894
WysokiJądro
CVE-2022-25656A-228101796
QC-CR#3119439 [ 2 ]
QC-CR#2998082 [ 2 ]
WysokiJądro
CVE-2022-25670A-235102548
QC-CR#3104235
WysokiWLAN
CVE-2022-25693A-235102897
QC-CR#3141474
WysokiWyświetlacz
CVE-2022-25704A-235102694
QC-CR#3155069 [ 2 ]
WysokiBluetooth
CVE-2022-25706A-235102901
QC-CR#3155132
WysokiBluetooth

Komponenty zamkniętego źródła Qualcomm

Te luki w zabezpieczeniach dotyczą komponentów Qualcomm o zamkniętym kodzie źródłowym i są opisane bardziej szczegółowo w odpowiednim biuletynie lub alercie bezpieczeństwa Qualcomm. Ocena dotkliwości tych problemów jest dostarczana bezpośrednio przez Qualcomm.

CVEBibliografiaKrytycznośćSkładnik
CVE-2022-25708A-235102756 *KrytycznyKomponent o zamkniętym kodzie źródłowym
CVE-2022-22066A-223209292 *WysokiKomponent o zamkniętym kodzie źródłowym
CVE-2022-22074A-235102567 *WysokiKomponent o zamkniętym kodzie źródłowym
CVE-2022-22081A-235102758 *WysokiKomponent o zamkniętym kodzie źródłowym
CVE-2022-22089A-235102568 *WysokiKomponent o zamkniętym kodzie źródłowym
CVE-2022-22091A-223209291 *WysokiKomponent o zamkniętym kodzie źródłowym
CVE-2022-22092A-223211216 *WysokiKomponent o zamkniętym kodzie źródłowym
CVE-2022-22093A-223209815 *WysokiKomponent o zamkniętym kodzie źródłowym
CVE-2022-22094A-223210036 *WysokiKomponent o zamkniętym kodzie źródłowym
CVE-2022-25669A-235102508 *WysokiKomponent o zamkniętym kodzie źródłowym
CVE-2022-25686A-235102899 *WysokiKomponent o zamkniętym kodzie źródłowym
CVE-2022-25688A-235102421 *WysokiKomponent o zamkniętym kodzie źródłowym
CVE-2022-25690A-235102422 *WysokiKomponent o zamkniętym kodzie źródłowym
CVE-2022-25696A-235102900 *WysokiKomponent o zamkniętym kodzie źródłowym