Le bulletin sur la sécurité d'Android contient des informations sur les failles de sécurité affectant les appareils Android. Niveaux du correctif de sécurité à partir du 06/10/2023. Pour savoir comment vérifier le niveau du correctif de sécurité d'un appareil, consultez Vérifiez la version d'Android installée et mettez-la à jour.
Les partenaires Android sont informés de tous les problèmes au moins un mois à l'avance. publication. Les correctifs du code source pour ces problèmes ont été publiés dans l'Android Open dépôt du projet source (AOSP), accessible à partir de ce bulletin. Ce bulletin inclut également des liens vers des correctifs en dehors d’AOSP.
L'évaluation de la gravité est basée sur l'effet l’exploitation de la vulnérabilité aurait peut-être sur un appareil affecté, en supposant que les mesures d'atténuation des risques liés à la plate-forme et aux services sont désactivées pour le développement ou en cas de contournement réussi.
Reportez-vous à la documentation Android et Google Play Protect des stratégies d'atténuation pour en savoir plus Plate-forme de sécurité Android de protection et Google Play Protect, qui renforcent la sécurité plate-forme Android.
Service Android et Google mesures d'atténuation
Il s'agit d'un récapitulatif des mesures d'atténuation proposées par le Plate-forme de sécurité Android et des protections de service, Google Play Nest Protect. Ces fonctionnalités réduisent la probabilité que la sécurité les vulnérabilités pourraient être exploitées avec succès sur Android.
- L'exploitation de nombreux problèmes sur Android est rendue plus difficile améliorations apportées dans les versions plus récentes de la plate-forme Android. Nous encourageons tous utilisateurs afin de passer à la dernière version d'Android lorsque cela est possible.
- L'équipe de sécurité Android surveille activement les utilisations abusives grâce à Google Play Nest Protect et avertit les utilisateurs Potentiellement Applications nuisibles. Google Play Protect est activé par défaut sur appareils avec Google Mobile de Google et est particulièrement important pour les utilisateurs qui installent des applications depuis en dehors de Google Play.
01/10/2023 détails de la faille au niveau du correctif de sécurité
Vous trouverez dans les sections ci-dessous des informations détaillées sur chacun des les failles qui s'appliquent au niveau du correctif du 01/10/2023. Les vulnérabilités sont regroupées sous le composant qu'elles affectent. Les problèmes sont décrits dans les tableaux ci-dessous et incluent l'ID de la CVE, références, type de faille, severity, et versions mises à jour d'AOSP (le cas échéant). Le cas échéant, nous associons la modification publique visant à résoudre le problème au ID de bug, comme la liste de modifications AOSP. Lorsque plusieurs modifications portent sur un même bug, les références supplémentaires sont sont associés à des chiffres qui suivent l'ID de bug. Les appareils équipés d'Android 10 ou version ultérieure peuvent recevoir des mises à jour de sécurité, ainsi que : Google Play : mises à jour du système
Framework
La vulnérabilité la plus grave dans cette section pourrait escalade de sans droits d'exécution supplémentaires requis.
| CVE | Références | Type | Gravité | Versions d'AOSP mises à jour |
|---|---|---|---|---|
| CVE-2023-40116 | A-270368476 [2]. | EoP | Élevée | 11, 12, 12L |
| CVE-2023-40120 | A-274775190 | EoP | Élevée | 11, 12, 12L, 13 |
| CVE-2023-40131 | A-282919145 | EoP | Élevée | 12, 12L, 13 |
| CVE-2023-40140 | A-274058082 | EoP | Élevée | 11, 12, 12L, 13 |
| CVE-2023-21291 | A-277593270 | ID | Élevée | 11, 12, 12L, 13 |
| CVE-2023-40121 | A-224771621 | ID | Élevée | 11, 12, 12L, 13 |
| CVE-2023-40134 | A-283101289 | ID | Élevée | 12, 12L, 13 |
| CVE-2023-40136 | A-281666022 | ID | Élevée | 11, 12, 12L, 13 |
| CVE-2023-40137 | A-281665050 | ID | Élevée | 11, 12, 12L, 13 |
| CVE-2023-40138 | A-281534749 | ID | Élevée | 11, 12, 12L, 13 |
| CVE-2023-40139 | A-281533566 | ID | Élevée | 11, 12, 12L, 13 |
Système
La faille la plus grave dans cette section pourrait Exécution de code (proximal/adjoint) sans privilèges d'exécution supplémentaires nécessaires.
| CVE | Références | Type | Gravité | Versions d'AOSP mises à jour |
|---|---|---|---|---|
| CVE-2023-40129 | A-273874525 | RCE | Critique | 12, 12L, 13 |
| CVE-2023-21244 | A-276729064 [2]. [3]. | EoP | Élevée | 11, 12, 12L, 13 |
| CVE-2023-40117 | A-253043065 [2]. | EoP | Élevée | 11, 12, 12L, 13 |
| CVE-2023-40125 | A-279902472 | EoP | Élevée | 11, 12, 12L, 13 |
| CVE-2023-40128 | A-274231102 | EoP | Élevée | 11, 12, 12L, 13 |
| CVE-2023-40130 | A-289809991 | EoP | Élevée | 11, 12, 12L, 13 |
| CVE-2023-40123 | A-278246904 | ID | Élevée | 11, 12, 12L, 13 |
| CVE-2023-40127 | A-262244882 | ID | Élevée | 11, 12, 12L, 13 |
| CVE-2023-40133 | A-283264674 | ID | Élevée | 11, 12, 12L, 13 |
| CVE-2023-40135 | A-281848557 | ID | Élevée | 11, 12, 12L, 13 |
| CVE-2023-21252 | A-275339978 [2]. | DoS | Élevée | 11, 12, 12L, 13 |
| CVE-2023-21253 | A-266580022 [2]. [3]. | DoS | Élevée | 11, 12, 12L, 13 |
Mises à jour du système Google Play
Les problèmes suivants sont inclus dans les composants du projet Mainline.
| Sous-composant | CVE |
|---|---|
| Fournisseur multimédia | CVE-2023-40127 |
| Wi-Fi | CVE-2023-21252 |
05/10/2023 détails de la faille au niveau du correctif de sécurité
Vous trouverez dans les sections ci-dessous des informations détaillées sur chacun des les failles qui s'appliquent au niveau du correctif du 05/10/2023. Les vulnérabilités sont regroupées sous le composant qu'elles affectent. Les problèmes sont décrits dans les tableaux ci-dessous et incluent l'ID de la CVE, références, type de faille, severity, et versions mises à jour d'AOSP (le cas échéant). Le cas échéant, nous associons la modification publique visant à résoudre le problème au ID de bug, comme la liste de modifications AOSP. Lorsque plusieurs modifications portent sur un même bug, les références supplémentaires sont sont associés à des chiffres qui suivent l'ID de bug.
Composants du bras
Ces failles affectent les composants Arm et des informations supplémentaires sont disponibles directement à partir d'ARM. Une évaluation de la gravité de ces problèmes est fournie directement par Arm.
| CVE | Références | Gravité | Sous-composant |
|---|---|---|---|
| CVE-2021-44828 | A-296461583 * | Élevée | Mali |
| CVE-2022-28348 | A-296463357 * | Élevée | Mali |
| CVE-2023-4211 | A-294605494 * | Élevée | Mali |
| CVE-2023-33200 | A-287627703 * | Élevée | Mali |
| CVE-2023-34970 | A-287624919 * | Élevée | Mali |
Composants MediaTek
Ces failles affectent les composants MediaTek. Pour en savoir plus, consultez disponibles directement auprès de MediaTek. L'évaluation de la gravité de ces problèmes est fournie directement par MediaTek.
| CVE | Références | Gravité | Sous-composant |
|---|---|---|---|
| CVE-2023-20819 | A-294779648
M-MOLY01068234 *. |
Élevée | Protocole PPP CDMA |
| CVE-2023-32819 | A-294779649
M-ALPS07993705 *. |
Élevée | écran |
| CVE-2023-32820 | A-294781433
M-ALPS07932637 *. |
Élevée | micrologiciel Wlan |
Composants unisoc
Cette faille affecte les composants Unisoc. Pour en savoir plus, consultez disponible directement depuis Unisoc. L'évaluation de la gravité de ce problème est directement fournie par l'unisoc.
| CVE | Références | Gravité | Sous-composant |
|---|---|---|---|
| CVE-2023-40638 | A-296491611
U-2212107* |
Élevée | Android |
Composants Qualcomm
Ces failles affectent les composants Qualcomm et sont décrites plus en détail dans le bulletin de sécurité Qualcomm ou l'alerte de sécurité appropriés. L'évaluation de la gravité de ces problèmes est assurée directement par Qualcomm.
| CVE | Références | Gravité | Sous-composant |
|---|---|---|---|
| CVE-2023-33029 | A-290061916
QC-CR#3446314 |
Élevée | Noyau |
| CVE-2023-33034 | A-290060972
QC-CR#3438425 |
Élevée | Audio |
| CVE-2023-33035 | A-290061247
QC-CR#3438021 |
Élevée | Audio |
Composants à source fermée Qualcomm
Ces failles affectent les composants à source fermée décrits plus en détail dans le bulletin de sécurité Qualcomm approprié ou alerte de sécurité. L'évaluation de la gravité de ces problèmes est assurée directement par Qualcomm.
| CVE | Références | Gravité | Sous-composant |
|---|---|---|---|
| CVE-2023-24855 | A-276750662 * | Critique | Composant à source fermée |
| CVE-2023-28540 | A-276751073 * | Critique | Composant à source fermée |
| CVE-2023-33028 | A-290060590 * | Critique | Composant à source fermée |
| CVE-2023-21673 | A-276750698 * | Élevée | Composant à source fermée |
| CVE-2023-22385 | A-276750699 * | Élevée | Composant à source fermée |
| CVE-2023-24843 | A-276750762 * | Élevée | Composant à source fermée |
| CVE-2023-24844 | A-276750872 * | Élevée | Composant à source fermée |
| CVE-2023-24847 | A-276751090 * | Élevée | Composant à source fermée |
| CVE-2023-24848 | A-276750995* | Élevée | Composant à source fermée |
| CVE-2023-24849 | A-276751370* | Élevée | Composant à source fermée |
| CVE-2023-24850 | A-276751108 * | Élevée | Composant à source fermée |
| CVE-2023-24853 | A-276751372 * | Élevée | Composant à source fermée |
| CVE-2023-33026 | A-290061996 * | Élevée | Composant à source fermée |
| CVE-2023-33027 | A-290061249 * | Élevée | Composant à source fermée |
06/10/2023 détails de la faille au niveau du correctif de sécurité
Vous trouverez dans les sections ci-dessous des informations détaillées sur chacun des les failles qui s'appliquent au niveau du correctif du 06/10/2023. Les vulnérabilités sont regroupées sous le composant qu'elles affectent. Les problèmes sont décrits dans les tableaux ci-dessous et incluent l'ID de la CVE, références, type de faille, severity, et versions mises à jour d'AOSP (le cas échéant). Le cas échéant, nous associons la modification publique visant à résoudre le problème au ID de bug, comme la liste de modifications AOSP. Lorsque plusieurs modifications portent sur un même bug, les références supplémentaires sont sont associés à des chiffres qui suivent l'ID de bug.
Système
La faille mentionnée dans cette section pourrait entraîner une exploitation sans interaction de l’utilisateur.
| CVE | Références | Type | Gravité | Versions d'AOSP mises à jour |
|---|---|---|---|---|
| CVE-2023-4863 | A-299477569 | RCE | Critique | 11, 12, 12L, 13 |
Questions fréquentes et réponses
Cette section répond aux questions fréquentes que l'on peut se poser après la lecture de ce .
1. Comment savoir si mon appareil a été mis à jour pour répondre à ces problèmes ? ces problèmes ?
Pour savoir comment vérifier le niveau du correctif de sécurité d'un appareil, consultez Vérifiez la version d'Android installée et mettez-la à jour.
- Niveau du correctif de sécurité à partir du 01/10/2023 à partir de l'adresse tous les problèmes associés au correctif de sécurité du 01/10/2023 à l'échelle du projet.
- Niveau du correctif de sécurité à partir du 05/10/2023 à partir de l'adresse tous les problèmes associés au correctif de sécurité du 05/10/2023 et tous les niveaux de correctif précédents.
- Niveau du correctif de sécurité à partir du 06/10/2023 à partir de l'adresse tous les problèmes associés au correctif de sécurité du 06/10/2023 et tous les niveaux de correctif précédents.
Les fabricants d'appareils qui intègrent ces mises à jour doivent définir la chaîne patch au niveau suivant:
- [ro.build.version.security_patch]:[01/10/2023]
- [ro.build.version.security_patch]:[05/10/2023]
- [ro.build.version.security_patch]:[06/10/2023]
Pour certains appareils équipés d'Android 10 ou version ultérieure, la mise à jour du système Google Play aura une chaîne de date qui correspond au du correctif de sécurité. Veuillez consulter cet article pour découvrir comment installer mises à jour de sécurité.
2. Pourquoi ce bulletin comporte-t-il trois niveaux de correctif de sécurité ?
Ce bulletin comporte trois niveaux de correctif de sécurité. la possibilité de corriger un sous-ensemble de failles similaires les appareils Android plus rapidement. Nous encourageons les partenaires Android à corriger dans ce bulletin et utilisez le dernier niveau du correctif de sécurité.
- Appareils utilisant le correctif de sécurité du 01/10/2023 doit inclure tous les problèmes associés à ce niveau de correctif de sécurité, ainsi que en tant que des correctifs pour tous les problèmes signalés dans les bulletins de sécurité précédents.
- Appareils utilisant le correctif de sécurité du 05/10/2023 ou une version plus récente doivent inclure tous les correctifs applicables à cette sécurité (et aux précédentes) et les bulletins.
- Appareils utilisant le correctif de sécurité du 06/10/2023 ou une version plus récente doivent inclure tous les correctifs applicables à cette sécurité (et aux précédentes) et les bulletins.
Les partenaires sont encouragés à regrouper les correctifs pour tous les problèmes qu'ils rencontrent. en une seule mise à jour.
3. Que signifient les entrées de la colonne Type ?
Entrées de la colonne Type de la table "Informations sur les failles" faire référence à la classification de la faille de sécurité.
| Abréviation | Définition |
|---|---|
| RCE | Exécution de code à distance |
| EoP | Élévation de privilèges |
| ID | Divulgation d'informations |
| DoS | Déni de service |
| N/A | Classification non disponible |
4. Que signifient les entrées de la colonne Références ?
Entrées de la colonne Références dans les détails des failles peut contenir un préfixe identifiant l'organisation à laquelle référence valeur.
| Préfixe | Référence |
|---|---|
| A- | ID de bug Android |
| QC – | Numéro de référence Qualcomm |
| L- | Numéro de référence MediaTek |
| N- | Numéro de référence NVIDIA |
| B- | Numéro de référence Broadcom |
| U- | Numéro de référence UNISOC |
5. Que signifie un * à côté de l'ID de bug Android dans les références ? moyenne de cette colonne ?
Les numéros non disponibles publiquement sont signalés par un astérisque (*) à côté du nom ID de référence. La mise à jour de ce problème est généralement contenue dans le dernier pilotes binaires pour les appareils Pixel disponibles sur Google site pour les développeurs.
6. Pourquoi les failles de sécurité sont-elles réparties entre ce bulletin et les bulletins de sécurité des appareils ou des partenaires, tels que Bulletin Pixel ?
Les failles de sécurité documentées dans ce bulletin de sécurité sont Vous devez déclarer le dernier niveau du correctif de sécurité sur Android appareils. D'autres failles de sécurité documentées dans le les bulletins de sécurité de l'appareil / du partenaire ne sont pas nécessaires pour déclarer un niveau de correctif de sécurité. Fabricants d'appareils et de chipsets Android peuvent également publier des informations sur les failles de sécurité propres à leurs produits, tels que Google Huawei, LGE Motorola Nokia, ou Samsung.
Versions
| Version | Date | Notes |
|---|---|---|
| 1.0 | 2 octobre 2023 | Publication du bulletin |