Das Android-Sicherheitsbulletin enthält Details zu Sicherheitslücken. die Android-Geräte betreffen. Stand der Sicherheits-Patches von 2023-10-06 oder später. Informationen zum Prüfen des Sicherheitspatch-Levels eines Geräts finden Sie unter Android-Version prüfen und aktualisieren
Android-Partner werden mindestens einen Monat im Voraus über alle Probleme informiert Veröffentlichung. Quellcode-Patches für diese Probleme wurden für die Android Open Quellprojekt-Repository (AOSP) und über dieses Bulletin verlinkt. Dieses Bulletin enthält auch Links zu Patches außerhalb von AOSP.
Die Bewertung des Schweregrads basiert auf der Auswirkung, die möglicherweise auf einem betroffenen Gerät ausgenutzt werden, Unter der Annahme, dass die Maßnahmen zur Risikominderung für Plattform und Dienste für die Entwicklung deaktiviert sind oder wenn sie erfolgreich umgangen werden.
Weitere Informationen finden Sie im Artikel Android und Google Play Protect finden Sie im Abschnitt zu den Risikominderungen Android-Sicherheitsplattform und Google Play Protect, die die Sicherheit des Android-Plattform.
Android und Google-Dienste Abwehrmaßnahmen
Dies ist eine Zusammenfassung der Maßnahmen, Android-Sicherheitsplattform und Dienstschutzmaßnahmen wie Google Play Nest Protect. Diese Funktionen verringern die Wahrscheinlichkeit, können Sicherheitslücken unter Android ausgenutzt werden.
- Die Ausnutzung vieler Probleme unter Android wird erschwert, Verbesserungen in neueren Versionen der Android-Plattform. Wir empfehlen allen Nutzer*innen , um nach Möglichkeit auf die neueste Android-Version zu aktualisieren.
- Das Android-Sicherheitsteam überwacht aktiv Google Play Google Protect und warnt Nutzer vor Potenziell Schädliche Apps. Google Play Protect ist standardmäßig aktiviert auf Geräte mit Google Mobil -Dienste. Dies ist besonders wichtig für Nutzer, die Apps über außerhalb von Google Play.
01.10.2023 Details zu Sicherheitslücken auf Sicherheitspatch-Ebene
In den folgenden Abschnitten finden Sie Details zu den einzelnen Sicherheitsfunktionen Sicherheitslücken beim Patchlevel vom 01.10.2023. Sicherheitslücken werden unter der jeweiligen Komponente gruppiert. Probleme sind in den folgenden Tabellen beschrieben und umfassen die CVE-ID, die zugehörigen Referenzen, Art der Sicherheitslücke severity und aktualisierte AOSP-Versionen (falls zutreffend). Sofern verfügbar, verknüpfen wir die öffentliche Änderung, die das Problem gelöst hat, mit dem Bug-ID wie die AOSP-Änderungsliste. Wenn sich mehrere Änderungen auf einen einzelnen Fehler beziehen, werden zusätzliche Referenzen die mit Nummern verknüpft sind, die auf die Fehler-ID folgen. Geräte mit Android 10 und höher erhalten möglicherweise Sicherheitsupdates Google Play-Systemupdates
Framework
Die schwerste Schwachstelle in diesem Bereich könnte Eskalierung von ohne zusätzliche Ausführungsberechtigungen.
| CVE | Referenzen | Typ | Wichtigkeit | Aktualisierte AOSP-Versionen |
|---|---|---|---|---|
| CVE-2023-40116 | A 270368476 [2] | EOP | Hoch | 11, 12, 12L |
| CVE-2023-40120 | A 274775190 | EOP | Hoch | 11, 12, 12L, 13 |
| CVE-2023-40131 | A 282919145 | EOP | Hoch | 12, 12L, 13 |
| CVE-2023-40140 | A 274058082 | EOP | Hoch | 11, 12, 12L, 13 |
| CVE-2023-21291 | A 277593270 | ID | Hoch | 11, 12, 12L, 13 |
| CVE-2023-40121 | A 224771621 | ID | Hoch | 11, 12, 12L, 13 |
| CVE-2023-40134 | A 283101289 | ID | Hoch | 12, 12L, 13 |
| CVE-2023-40136 | A 281666022 | ID | Hoch | 11, 12, 12L, 13 |
| CVE-2023-40137 | A 281665050 | ID | Hoch | 11, 12, 12L, 13 |
| CVE-2023-40138 | A 281534749 | ID | Hoch | 11, 12, 12L, 13 |
| CVE-2023-40139 | A 281533566 | ID | Hoch | 11, 12, 12L, 13 |
System
Die größte Schwachstelle in diesem Bereich könnte zu Remote- Codeausführung (proximal/neben) ohne zusätzliche Ausführungsberechtigungen erforderlich.
| CVE | Referenzen | Typ | Wichtigkeit | Aktualisierte AOSP-Versionen |
|---|---|---|---|---|
| CVE-2023-40129 | A 273874525 | RCE | Kritisch | 12, 12L, 13 |
| CVE-2023-21244 | A 276729064 [2] [3] | EOP | Hoch | 11, 12, 12L, 13 |
| CVE-2023-40117 | A 253043065 [2] | EOP | Hoch | 11, 12, 12L, 13 |
| CVE-2023-40125 | A 279902472 | EOP | Hoch | 11, 12, 12L, 13 |
| CVE-2023-40128 | A 274231102 | EOP | Hoch | 11, 12, 12L, 13 |
| CVE-2023-40130 | A 289809991 | EOP | Hoch | 11, 12, 12L, 13 |
| CVE-2023-40123 | A 278246904 | ID | Hoch | 11, 12, 12L, 13 |
| CVE-2023-40127 | A 262244882 | ID | Hoch | 11, 12, 12L, 13 |
| CVE-2023-40133 | A 283264674 | ID | Hoch | 11, 12, 12L, 13 |
| CVE-2023-40135 | A 281848557 | ID | Hoch | 11, 12, 12L, 13 |
| CVE-2023-21252 | A 275339978 [2] | DoS | Hoch | 11, 12, 12L, 13 |
| CVE-2023-21253 | A 266580022 [2] [3] | DoS | Hoch | 11, 12, 12L, 13 |
Google Play-Systemupdates
Die folgenden Probleme sind in den Komponenten des Project Mainline enthalten.
| Unterkomponente | CVE |
|---|---|
| Medienanbieter | CVE-2023-40127 |
| WLAN | CVE-2023-21252 |
05.10.2023 Details zu Sicherheitslücken auf Sicherheitspatch-Ebene
In den folgenden Abschnitten finden Sie Details zu den einzelnen Sicherheitsfunktionen Sicherheitslücken beim Patchlevel vom 05.10.2023. Sicherheitslücken werden unter der jeweiligen Komponente gruppiert. Probleme sind in den folgenden Tabellen beschrieben und umfassen die CVE-ID, die zugehörigen Referenzen, Art der Sicherheitslücke severity und aktualisierte AOSP-Versionen (falls zutreffend). Sofern verfügbar, verknüpfen wir die öffentliche Änderung, die das Problem gelöst hat, mit dem Bug-ID wie die AOSP-Änderungsliste. Wenn sich mehrere Änderungen auf einen einzelnen Fehler beziehen, werden zusätzliche Referenzen die mit Nummern verknüpft sind, die auf die Fehler-ID folgen.
Armkomponenten
Diese Sicherheitslücken betreffen Arm-Komponenten. Weitere Informationen sind verfügbar. direkt von ARM. Der Schweregrad dieser Probleme wird zur Verfügung gestellt. direkt von Arm.
| CVE | Referenzen | Wichtigkeit | Unterkomponente |
|---|---|---|---|
| CVE-2021-44828 | A-296461583 * | Hoch | Mali |
| CVE-2022-28348 | A-296463357 * | Hoch | Mali |
| CVE-2023-4211 | A-294605494 * | Hoch | Mali |
| CVE-2023-33200 | A-287627703 * | Hoch | Mali |
| CVE-2023-34970 | A-287624919 * | Hoch | Mali |
MediaTek-Komponenten
Diese Sicherheitslücken betreffen MediaTek-Komponenten. direkt bei MediaTek erhältlich. Die Einschätzung des Schweregrads dieser Probleme erfolgt direkt durch MediaTek.
| CVE | Referenzen | Wichtigkeit | Unterkomponente |
|---|---|---|---|
| CVE-2023-20819 | A-294779648
M-MOLY01068234 * |
Hoch | CDMA-PPP-Protokoll |
| CVE-2023-32819 | A-294779649
M-ALPS07993705 * |
Hoch | Display |
| CVE-2023-32820 | A-294781433
M-ALPS07932637 * |
Hoch | WLAN-Firmware |
Unisoc-Komponenten
Diese Sicherheitslücke betrifft die Komponenten von Unisoc. Weitere Details sind verfügbar direkt von Unisoc. Die Einschätzung des Schweregrads dieses Problems wird direkt von Unisoc bereitgestellt.
| CVE | Referenzen | Wichtigkeit | Unterkomponente |
|---|---|---|---|
| CVE-2023-40638 | A-296491611
U-2212107* |
Hoch | Android |
Qualcomm-Komponenten
Diese Sicherheitslücken betreffen Qualcomm-Komponenten und werden weiter unten beschrieben. im entsprechenden Qualcomm-Sicherheitsbulletin oder in der Sicherheitswarnung enthalten. Die Einschätzung des Schweregrads dieser Probleme erfolgt direkt durch Qualcomm.
| CVE | Referenzen | Wichtigkeit | Unterkomponente |
|---|---|---|---|
| CVE-2023-33029 | A-290061916
QC-CR#3446314 |
Hoch | Kernel |
| CVE-2023-33034 | A-290060972
QC-CR#3438425 |
Hoch | Audio |
| CVE-2023-33035 | A-290061247
QC-CR#3438021 |
Hoch | Audio |
Closed-Source-Komponenten von Qualcomm
Diese Sicherheitslücken betreffen die Closed-Source-Komponenten von Qualcomm und sind im entsprechenden Qualcomm-Sicherheitsbulletin genauer beschrieben oder Sicherheitswarnung. Die Einschätzung des Schweregrads dieser Probleme erfolgt direkt durch Qualcomm.
| CVE | Referenzen | Wichtigkeit | Unterkomponente |
|---|---|---|---|
| CVE-2023-24855 | A-276750662 * | Kritisch | Closed-Source-Komponente |
| CVE-2023-28540 | A-276751073 * | Kritisch | Closed-Source-Komponente |
| CVE-2023-33028 | A-290060590 * | Kritisch | Closed-Source-Komponente |
| CVE-2023-21673 | A-276750698 * | Hoch | Closed-Source-Komponente |
| CVE-2023-22385 | A-276750699 * | Hoch | Closed-Source-Komponente |
| CVE-2023-24843 | A-276750762 * | Hoch | Closed-Source-Komponente |
| CVE-2023-24844 | A-276750872 * | Hoch | Closed-Source-Komponente |
| CVE-2023-24847 | A-276751090 * | Hoch | Closed-Source-Komponente |
| CVE-2023-24848 | A-276750995* | Hoch | Closed-Source-Komponente |
| CVE-2023-24849 | A-276751370* | Hoch | Closed-Source-Komponente |
| CVE-2023-24850 | A-276751108 * | Hoch | Closed-Source-Komponente |
| CVE-2023-24853 | A-276751372 * | Hoch | Closed-Source-Komponente |
| CVE-2023-33026 | A-290061996 * | Hoch | Closed-Source-Komponente |
| CVE-2023-33027 | A-290061249 * | Hoch | Closed-Source-Komponente |
06.10.2023 Details zu Sicherheitslücken auf Sicherheitspatch-Ebene
In den folgenden Abschnitten finden Sie Details zu den einzelnen Sicherheitsfunktionen Sicherheitslücken beim Patchlevel vom 06.10.2023. Sicherheitslücken werden unter der jeweiligen Komponente gruppiert. Probleme sind in den folgenden Tabellen beschrieben und umfassen die CVE-ID, die zugehörigen Referenzen, Art der Sicherheitslücke severity und aktualisierte AOSP-Versionen (falls zutreffend). Sofern verfügbar, verknüpfen wir die öffentliche Änderung, die das Problem gelöst hat, mit dem Bug-ID wie die AOSP-Änderungsliste. Wenn sich mehrere Änderungen auf einen einzelnen Fehler beziehen, werden zusätzliche Referenzen die mit Nummern verknüpft sind, die auf die Programmfehler-ID folgen.
System
Die Sicherheitslücke in diesem Abschnitt könnte zu einer Sicherheitslücke ohne Interaktion des Nutzers führen.
| CVE | Referenzen | Typ | Wichtigkeit | Aktualisierte AOSP-Versionen |
|---|---|---|---|---|
| CVE-2023-4863 | A-299477569 | RCE | Kritisch | 11, 12, 12L, 13 |
Häufig gestellte Fragen und Antworten
In diesem Abschnitt finden Sie Antworten auf häufig gestellte Fragen, die nach dem Lesen dieses Artikels auftreten können. .
1. Wie finde ich heraus, ob mein Gerät entsprechend aktualisiert wurde? Probleme?
Informationen zum Prüfen des Sicherheitspatch-Levels eines Geräts finden Sie unter Android-Version prüfen und aktualisieren
- Sicherheitspatch-Levels ab 01.10.2023 alle Probleme im Zusammenhang mit dem Sicherheitspatch vom 01.10.2023
- Sicherheitspatch-Levels ab 05.10.2023 alle Probleme im Zusammenhang mit dem Sicherheitspatch vom 05.10.2023 und alle vorherigen Patch-Levels.
- Sicherheitspatch-Levels ab dem 06.10.2023 alle Probleme im Zusammenhang mit dem Sicherheitspatch vom 06.10.2023 und alle vorherigen Patch-Levels.
Gerätehersteller, die diese Updates verwenden, sollten den Patchstring festlegen. Ebene zu:
- [ro.build.version.security_patch]:[01.10.2023]
- [ro.build.version.security_patch]:[05.10.2023]
- [ro.build.version.security_patch]:[06.10.2023]
Bei einigen Geräten mit Android 10 oder höher wird das Google Play-Systemupdate hat einen Datumsstring, der mit dem 01.10.2023 übereinstimmt. Stand der Sicherheitsupdates. Weitere Informationen findest du in diesem Artikel. Installieren Sicherheitsupdates.
2. Warum gibt es in diesem Bulletin drei Sicherheitspatch-Level?
Dieses Bulletin enthält drei Sicherheitspatch-Levels, die Flexibilität, einen Teil der Sicherheitslücken zu beheben, die in allen auf Android-Geräten. Android-Partnern sollten alle Probleme in diesem Bulletin beheben und den aktuellen Stand der Sicherheitsupdates verwenden.
- Geräte, die den Sicherheitspatch-Level vom 01.10.2023 verwenden muss alle Probleme im Zusammenhang mit diesem Sicherheitspatch-Level sowie als Fehlerkorrekturen für alle Probleme, die in früheren Sicherheitsbulletins gemeldet wurden.
- Geräte, die das Sicherheitspatch-Level vom 05.10.2023 verwenden oder höher muss alle anwendbaren Patches in dieser (und früheren) Sicherheitsmaßnahme enthalten Bulletins.
- Geräte, die den Sicherheitspatch-Level vom 06.10.2023 verwenden oder höher muss alle anwendbaren Patches in dieser (und früheren) Sicherheitsmaßnahme enthalten Bulletins.
Partnern wird empfohlen, die Lösungen für alle Probleme, die sie betreffen, bündeln zu lassen. mit einem einzigen Update zu beheben.
3. Was bedeuten die Einträge in der Spalte Typ?
Einträge in der Spalte Typ der Tabelle mit den Details zu Sicherheitslücken Klassifizierung der Sicherheitslücke.
| Abkürzung | Definition |
|---|---|
| RCE | Codeausführung per Fernzugriff |
| EOP | Rechteausweitung |
| ID | Offenlegung von Informationen |
| DoS | Denial of Service |
| – | Klassifizierung nicht verfügbar |
4. Was bedeuten die Einträge in der Spalte Referenzen?
Einträge in der Spalte Referenzen der Details zu Sicherheitslücken kann ein Präfix enthalten, das die Organisation angibt, für die der Referenz gehört.
| Präfix | Verweise |
|---|---|
| A- | Android-Programmfehler-ID |
| Qualitätskontrolle- | Qualcomm-Referenznummer |
| Mo– | MediaTek-Referenznummer |
| N- | NVIDIA-Referenznummer |
| B- | Broadcom-Referenznummer |
| U- | UNISOC-Referenznummer |
5. Was bedeutet ein * neben der Android-Fehler-ID in den Referenzen? Spaltenmittelwert?
Probleme, die nicht öffentlich verfügbar sind, sind mit einem * neben dem entsprechenden Referenz-ID. Das Update für dieses Problem befindet sich in der Regel in der aktuellen binäre Treiber für Pixel-Geräte, Google Entwicklerwebsite.
6. Warum sind Sicherheitslücken zwischen diesem Bulletin und Geräte-/Partner-Sicherheitsbulletins wie die Pixel-Bulletin?
Die in diesem Sicherheitsbulletin dokumentierten Sicherheitslücken sind erforderlich, um das neueste Sicherheitspatch-Level für Android zu deklarieren Geräte. Weitere Sicherheitslücken, die in der Geräte-/Partner-Sicherheitsbulletins sind nicht erforderlich für Sicherheitspatch-Level deklarieren. Hersteller von Android-Geräten und Chipsätzen produktspezifische Details zu Sicherheitslücken veröffentlichen, zum Beispiel Google Huawei LGE Motorola Nokia, oder Samsung.
Versionen
| Version | Datum | Hinweise |
|---|---|---|
| 1 | 2. Oktober 2023 | Bulletin veröffentlicht |