Google publikuje aktualizację zabezpieczeń systemu Android 11/2022

Biuletyn Android Security Bulletin zawiera szczegółowe informacje na temat luk w zabezpieczeniach urządzeń z systemem Android. Poziomy poprawek zabezpieczeń z dnia 2022-11-05 lub nowsze rozwiązują wszystkie te problemy.

Najpoważniejszym z tych problemów jest luka w zabezpieczeniach o wysokim poziomie bezpieczeństwa w komponencie Framework, która może prowadzić do lokalnej eskalacji uprawnień bez konieczności posiadania dodatkowych uprawnień do wykonywania.

2022-11-01 szczegóły luki w zabezpieczeniach poziomu łatki bezpieczeństwa

W poniższych sekcjach podajemy szczegółowe informacje o każdej z luk w zabezpieczeniach, które dotyczą poziomu poprawek 2022-11-01.

Struktura

Najpoważniejsza luka w tej sekcji może prowadzić do lokalnej eskalacji uprawnień bez konieczności posiadania dodatkowych uprawnień do wykonywania.

CVE	Bibliografia	Rodzaj	Surowość	Zaktualizowane wersje AOSP
CVE-2022-2209	A-235601882	EoP	Wysoki	10, 11, 12, 12L, 13
CVE-2022-20441	A-238605611	EoP	Wysoki	10, 11, 12, 12L, 13
CVE-2022-20446	A-229793943	EoP	Wysoki	10, 11
CVE-2022-20448	A-237540408	EoP	Wysoki	10, 11, 12, 12L, 13
CVE-2022-20450	A-210065877	EoP	Wysoki	10, 11, 12, 12L, 13
CVE-2022-20452	A-240138318	EoP	Wysoki	13
CVE-2022-20457	A-243924784	EoP	Wysoki	13

Wiele elementów

Luka w tej sekcji może prowadzić do lokalnej odmowy usługi bez dodatkowych uprawnień do wykonywania.

CVE	Bibliografia	Rodzaj	Surowość	Zaktualizowane wersje AOSP
CVE-2022-20426	A-236263294	DoS	Wysoki	10, 11, 12, 12L, 13

System

Najpoważniejsza luka w tej sekcji może prowadzić do lokalnej eskalacji uprawnień bez konieczności posiadania dodatkowych uprawnień do wykonywania.

CVE	Bibliografia	Rodzaj	Surowość	Zaktualizowane wersje AOSP
CVE-2022-20451	A-235098883	EoP	Wysoki	10, 11, 12, 12L, 13
CVE-2022-20454	A-242096164	EoP	Wysoki	10, 11, 12, 12L, 13
CVE-2022-20462	A-230356196	EoP	Wysoki	10, 11, 12, 12L, 13
CVE-2022-20463	A-231985227	EoP	Wysoki	10, 11, 12, 12L, 13
CVE-2022-20465	A-218500036	EoP	Wysoki	10, 11, 12, 12L, 13
CVE-2022-20445	A-225876506	ID	Wysoki	10, 11, 12, 12L, 13
CVE-2022-20447	A-233604485	ID	Wysoki	13
CVE-2022-20414	A-234441463	DoS	Wysoki	10, 11, 12, 12L, 13
CVE-2022-20453	A-240685104	DoS	Wysoki	10, 11, 12, 12L, 13

Aktualizacje systemu Google Play

Następujące kwestie są uwzględnione w komponentach Project Mainline.

Podkomponent	CVE
Komponenty Media Framework	CVE-2022-2209
Wi-Fi	CVE-2022-20463

2022-11-05 szczegóły luki w zabezpieczeniach poziomu łatki bezpieczeństwa

W poniższych sekcjach podajemy szczegółowe informacje o każdej z luk w zabezpieczeniach, które mają zastosowanie do poziomu poprawek 2022-11-05.

Technologie wyobraźni

Te luki dotyczą komponentów Imagination Technologies, a dalsze szczegóły można uzyskać bezpośrednio od Imagination Technologies. Ocenę dotkliwości tych problemów zapewnia bezpośrednio Imagination Technologies.

CVE	Bibliografia	Surowość	Podkomponent
CVE-2021-1050	A-243825200 *	Wysoki	PowerVR-GPU
CVE-2021-39661	A-246824784 *	Wysoki	PowerVR-GPU

Komponenty MediaTek

Te luki dotyczą komponentów MediaTek, a dalsze szczegóły są dostępne bezpośrednio w MediaTek. Ocenę dotkliwości tych problemów zapewnia bezpośrednio MediaTek.

CVE	Bibliografia	Surowość	Podkomponent
CVE-2022-32601	A-234038598 M-ALPS07319132 *	Wysoki	telefonia
CVE-2022-32602	A-245050053 M-ALPS07388790 *	Wysoki	keyinstall

Komponenty Unisoc

Te luki w zabezpieczeniach dotyczą komponentów Unisoc, a dalsze szczegóły są dostępne bezpośrednio w Unisoc. Ocena dotkliwości tych problemów jest dostarczana bezpośrednio przez Unisoc.

CVE	Bibliografia	Surowość	Podkomponent
CVE-2022-2984	A-244673210 U-1901978 *	Wysoki	Jądro
CVE-2022-2985	A-244657985 U-1882490 *	Wysoki	Android
CVE-2022-38669	A-244666286 U-1883755 *	Wysoki	Android
CVE-2022-38670	A-244674480 U-1883755 *	Wysoki	Android
CVE-2022-39105	A-245210875 U-1830881 *	Wysoki	Jądro
CVE-2022-38672	A-244684957 U-1957128 *	Wysoki	Jądro
CVE-2022-38673	A-246482122 U-1957128 *	Wysoki	Jądro
CVE-2022-38676	A-244683429 U-1908118 *	Wysoki	Jądro
CVE-2022-38690	A-244109033 U-1914157 *	Wysoki	Jądro

Komponenty Qualcomm

Te luki w zabezpieczeniach dotyczą składników Qualcomm i są opisane bardziej szczegółowo w odpowiednim biuletynie lub alercie zabezpieczeń Qualcomm. Ocena dotkliwości tych problemów jest dostarczana bezpośrednio przez Qualcomm.

CVE	Bibliografia	Surowość	Podkomponent
CVE-2022-25724	A-238106223 QC-CR#3090325 [ 2 ] [ 3 ]	Wysoki	Wyświetlacz
CVE-2022-25741	A-240972788 QC-CR#3147273	Wysoki	WLAN
CVE-2022-25743	A-240973083 QC-CR#3153406	Wysoki	Wyświetlacz

Komponenty zamkniętego źródła Qualcomm

Te luki w zabezpieczeniach dotyczą komponentów Qualcomm o zamkniętym kodzie źródłowym i są opisane bardziej szczegółowo w odpowiednim biuletynie lub alercie bezpieczeństwa Qualcomm. Ocena dotkliwości tych problemów jest dostarczana bezpośrednio przez Qualcomm.

CVE	Bibliografia	Surowość	Podkomponent
CVE-2021-35122	A-213239915 *	Krytyczny	Komponent o zamkniętym kodzie źródłowym
CVE-2021-35108	A-209469945 *	Wysoki	Komponent o zamkniętym kodzie źródłowym
CVE-2021-35109	A-209469824 *	Wysoki	Komponent o zamkniętym kodzie źródłowym
CVE-2021-35132	A-213240063 *	Wysoki	Komponent o zamkniętym kodzie źródłowym
CVE-2021-35135	A-213239949 *	Wysoki	Komponent o zamkniętym kodzie źródłowym
CVE-2022-25671	A-231156429 *	Wysoki	Komponent o zamkniętym kodzie źródłowym
CVE-2022-33234	A-240971780 *	Wysoki	Komponent o zamkniętym kodzie źródłowym
CVE-2022-33236	A-240973180 *	Wysoki	Komponent o zamkniętym kodzie źródłowym
CVE-2022-33237	A-240972236 *	Wysoki	Komponent o zamkniętym kodzie źródłowym
CVE-2022-33239	A-240982982 *	Wysoki	Komponent o zamkniętym kodzie źródłowym