Il Bollettino sulla sicurezza di Android contiene dettagli sulle vulnerabilità di sicurezza interessa i dispositivi Android. Livelli patch di sicurezza di 06/10/2023 o in un secondo momento, per risolvere tutti questi problemi. Per scoprire come controllare il livello patch di sicurezza di un dispositivo, vedi Controllare e aggiornare la versione di Android.
I partner Android vengono informati di tutti i problemi almeno un mese prima pubblicazione. Le patch del codice sorgente per questi problemi sono state rilasciate in Android Open Repository del progetto di origine (AOSP) e collegato da questo bollettino. Questo bollettino Include anche i link alle patch esterne ad AOSP.
La valutazione della gravità si basa sull'effetto che sfruttare la vulnerabilità che potrebbe avere su un dispositivo interessato supponendo che le mitigazioni della piattaforma e del servizio siano disattivate per lo sviluppo o se viene ignorato.
Consulta l'articolo relativo ad Android e Google Play Protect mitigazioni per maggiori dettagli Piattaforma di sicurezza Android e Google Play Protect, che migliorano la sicurezza la piattaforma Android.
Android e servizi Google mitigazioni
Questo è un riepilogo delle mitigazioni fornite dal Piattaforma di sicurezza Android e protezioni dei servizi, come Google Play. Protect. Queste funzionalità riducono la probabilità che le le vulnerabilità potrebbero essere sfruttate con successo su Android.
- Lo sfruttamento di molti problemi su Android è reso più difficile miglioramenti nelle versioni più recenti della piattaforma Android. Invitiamo tutti utenti di eseguire l'aggiornamento all'ultima versione di Android, se possibile.
- Il team di sicurezza di Android monitora attivamente gli abusi tramite Google Play Protect e avvisa gli utenti Potenzialmente Applicazioni dannose. Google Play Protect è attivo per impostazione predefinita su dispositivi con Google Dispositivi mobili Services ed è particolarmente importante per gli utenti che installano app da al di fuori di Google Play.
1/10/2023 dettagli sulle vulnerabilità a livello di patch di sicurezza
Nelle sezioni che seguono vengono forniti i dettagli per ogni requisito di sicurezza le vulnerabilità che si applicano al livello di patch 2023-10-01. Le vulnerabilità sono raggruppate sotto il componente su cui sono interessate. I problemi sono descritti nelle tabelle di seguito e includono l'ID CVE, riferimenti, tipo di vulnerabilità, gravità, e versioni AOSP aggiornate (ove applicabile). Se disponibile, colleghiamo la modifica pubblica che ha risolto il problema alla ID bug, come l'elenco delle modifiche AOSP. Quando più modifiche si riferiscono a un singolo bug, vengono forniti riferimenti aggiuntivi collegati ai numeri che seguono l'ID bug. I dispositivi con Android 10 e versioni successive potrebbero ricevere aggiornamenti della sicurezza e Google Aggiornamenti di sistema Play.
Framework
La vulnerabilità più grave in questa sezione potrebbe causare della riassegnazione senza ulteriori privilegi di esecuzione.
| CVE | Riferimenti | Tipo | Gravità | Versioni AOSP aggiornate |
|---|---|---|---|---|
| CVE-2023-40116 | A-270368476 [2] | EP | Alto | 11, 12, 12L |
| CVE-2023-40120 | A-274775190 | EP | Alto | 11, 12, 12L, 13 |
| CVE-2023-40131 | A-282919145 | EP | Alto | 12, 12L, 13 |
| CVE-2023-40140 | A-274058082 | EP | Alto | 11, 12, 12L, 13 |
| CVE-2023-21291 | A-277593270 | ID | Alto | 11, 12, 12L, 13 |
| CVE-2023-40121 | A-224771621 | ID | Alto | 11, 12, 12L, 13 |
| CVE-2023-40134 | A-283101289 | ID | Alto | 12, 12L, 13 |
| CVE-2023-40136 | A-281666022 | ID | Alto | 11, 12, 12L, 13 |
| CVE-2023-40137 | A-281665050 | ID | Alto | 11, 12, 12L, 13 |
| CVE-2023-40138 | A-281534749 | ID | Alto | 11, 12, 12L, 13 |
| CVE-2023-40139 | A-281533566 | ID | Alto | 11, 12, 12L, 13 |
Sistema
La vulnerabilità più grave in questa sezione potrebbe causare attacchi Esecuzione di codice (prossimale/adiacente) senza privilegi di esecuzione aggiuntivi necessaria.
| CVE | Riferimenti | Tipo | Gravità | Versioni AOSP aggiornate |
|---|---|---|---|---|
| CVE-2023-40129 | A-273874525 | RCE | Critico | 12, 12L, 13 |
| CVE-2023-21244 | A-276729064 [2] [3] | EP | Alto | 11, 12, 12L, 13 |
| CVE-2023-40117 | A-253043065 [2] | EP | Alto | 11, 12, 12L, 13 |
| CVE-2023-40125 | A-279902472 | EP | Alto | 11, 12, 12L, 13 |
| CVE-2023-40128 | A-274231102 | EP | Alto | 11, 12, 12L, 13 |
| CVE-2023-40130 | A-289809991 | EP | Alto | 11, 12, 12L, 13 |
| CVE-2023-40123 | A-278246904 | ID | Alto | 11, 12, 12L, 13 |
| CVE-2023-40127 | A-262244882 | ID | Alto | 11, 12, 12L, 13 |
| CVE-2023-40133 | A-283264674 | ID | Alto | 11, 12, 12L, 13 |
| CVE-2023-40135 | A-281848557 | ID | Alto | 11, 12, 12L, 13 |
| CVE-2023-21252 | A-275339978 [2] | DoS | Alto | 11, 12, 12L, 13 |
| CVE-2023-21253 | A-266580022 [2] [3] | DoS | Alto | 11, 12, 12L, 13 |
Aggiornamenti di sistema Google Play
I seguenti problemi sono inclusi nei componenti del progetto Mainline.
| Sottocomponente | CVE |
|---|---|
| Fornitore media | CVE-2023-40127 |
| Wi-Fi | CVE-2023-21252 |
5/10/2023 dettagli sulle vulnerabilità a livello di patch di sicurezza
Nelle sezioni che seguono vengono forniti i dettagli per ogni requisito di sicurezza le vulnerabilità che si applicano al livello di patch 2023-10-05. Le vulnerabilità sono raggruppate sotto il componente su cui sono interessate. I problemi sono descritti nelle tabelle di seguito e includono l'ID CVE, riferimenti, tipo di vulnerabilità, gravità, e versioni AOSP aggiornate (ove applicabile). Se disponibile, colleghiamo la modifica pubblica che ha risolto il problema alla ID bug, come l'elenco delle modifiche AOSP. Quando più modifiche si riferiscono a un singolo bug, vengono forniti riferimenti aggiuntivi collegati ai numeri che seguono l'ID bug.
Componenti ARM
Queste vulnerabilità interessano i componenti ARM e sono disponibili ulteriori dettagli direttamente da ARM. Viene fornita una valutazione della gravità di questi problemi direttamente tramite ARM.
| CVE | Riferimenti | Gravità | Sottocomponente |
|---|---|---|---|
| CVE-2021-44828 | A-296461583 * | Alto | Mali |
| CVE-2022-28348 | A-296463357 * | Alto | Mali |
| CVE-2023-4211 | A-294605494 * | Alto | Mali |
| CVE-2023-33200 | A-287627703 * | Alto | Mali |
| CVE-2023-34970 | A-287624919 * | Alto | Mali |
Componenti MediaTek
Queste vulnerabilità interessano i componenti di MediaTek. Ulteriori dettagli sono disponibili direttamente da MediaTek. La valutazione della gravità di questi problemi è fornita direttamente da MediaTek.
| CVE | Riferimenti | Gravità | Sottocomponente |
|---|---|---|---|
| CVE-2023-20819 | A-294779648
M-MOLY01068234 * |
Alto | Protocollo PPP CDMA |
| CVE-2023-32819 | A-294779649
M-ALPS07993705 * |
Alto | display |
| CVE-2023-32820 | A-294781433
M-ALPS07932637 * |
Alto | firmware wlan |
Componenti Unisoc
Questa vulnerabilità interessa i componenti Unisoc e ulteriori dettagli sono disponibili direttamente da Unisoc. La valutazione della gravità di questo problema è fornita direttamente da Unisoc.
| CVE | Riferimenti | Gravità | Sottocomponente |
|---|---|---|---|
| CVE-2023-40638 | A-296491611
U-2212107* |
Alto | Android |
Componenti Qualcomm
Queste vulnerabilità interessano i componenti Qualcomm e sono descritte in maggiore i dettagli nel bollettino sulla sicurezza o nell'avviso di sicurezza Qualcomm appropriato. La valutazione della gravità di questi problemi è fornita direttamente da Qualcomm.
| CVE | Riferimenti | Gravità | Sottocomponente |
|---|---|---|---|
| CVE-2023-33029 | A-290061916
QC-CR#3446314 |
Alto | Kernel |
| CVE-2023-33034 | A-290060972
QC-CR#3438425 |
Alto | Audio |
| CVE-2023-33035 | A-290061247
QC-CR#3438021 |
Alto | Audio |
Componenti di fonte chiusa Qualcomm
Queste vulnerabilità interessano i componenti chiusi di Qualcomm e sono descritti in dettaglio nel bollettino sulla sicurezza appropriato di Qualcomm o avviso di sicurezza. La valutazione della gravità di questi problemi è fornita direttamente da Qualcomm.
| CVE | Riferimenti | Gravità | Sottocomponente |
|---|---|---|---|
| CVE-2023-24855 | A-276750662 * | Critico | Componente open source |
| CVE-2023-28540 | A-276751073 * | Critico | Componente open source |
| CVE-2023-33028 | A-290060590 * | Critico | Componente open source |
| CVE-2023-21673 | A-276750698 * | Alto | Componente open source |
| CVE-2023-22385 | A-276750699 * | Alto | Componente open source |
| CVE-2023-24843 | A-276750762 * | Alto | Componente open source |
| CVE-2023-24844 | A-276750872 * | Alto | Componente open source |
| CVE-2023-24847 | A-276751090 * | Alto | Componente open source |
| CVE-2023-24848 | A-276750995* | Alto | Componente open source |
| CVE-2023-24849 | A-276751370* | Alto | Componente open source |
| CVE-2023-24850 | A-276751108 * | Alto | Componente open source |
| CVE-2023-24853 | A-276751372 * | Alto | Componente open source |
| CVE-2023-33026 | A-290061996 * | Alto | Componente open source |
| CVE-2023-33027 | A-290061249 * | Alto | Componente open source |
6/10/2023 dettagli sulle vulnerabilità a livello di patch di sicurezza
Nelle sezioni che seguono vengono forniti i dettagli per ogni requisito di sicurezza le vulnerabilità che si applicano al livello di patch 2023-10-06. Le vulnerabilità sono raggruppate sotto il componente su cui sono interessate. I problemi sono descritti nelle tabelle di seguito e includono l'ID CVE, riferimenti, tipo di vulnerabilità, gravità, e versioni AOSP aggiornate (ove applicabile). Se disponibile, colleghiamo la modifica pubblica che ha risolto il problema alla ID bug, come l'elenco delle modifiche AOSP. Quando più modifiche si riferiscono a un singolo bug, vengono forniti riferimenti aggiuntivi collegati ai numeri che seguono l'ID bug.
Sistema
La vulnerabilità in questa sezione potrebbe portare a uno sfruttamento senza interazione da parte dell'utente.
| CVE | Riferimenti | Tipo | Gravità | Versioni AOSP aggiornate |
|---|---|---|---|---|
| CVE-2023-4863 | A-299477569 | RCE | Critico | 11, 12, 12L, 13 |
Domande e risposte comuni
In questa sezione troverai le risposte alle domande più comuni che potrebbero sorgere dopo aver letto bollettino.
1. Come faccio a stabilire se il mio dispositivo è aggiornato per risolvere questi problemi? problemi?
Per scoprire come controllare il livello patch di sicurezza di un dispositivo, vedi Controllare e aggiornare la versione di Android.
- Livelli patch di sicurezza dell'1/10/2023 o successivi tutti i problemi associati alla patch di sicurezza del 01/10/2023 livello.
- Livelli patch di sicurezza del 5/10/2023 o indirizzi successivi tutti i problemi associati alla patch di sicurezza del 05/10/2023 e tutti i livelli patch precedenti.
- Livelli patch di sicurezza del 06/10/2023 o indirizzi successivi tutti i problemi associati alla patch di sicurezza del 06/10/2023 e tutti i livelli patch precedenti.
I produttori di dispositivi che includono questi aggiornamenti devono impostare la stringa patch livello a:
- [ro.build.version.security_patch]:[01-10-2023]
- [ro.build.version.security_patch]:[05-10-2023]
- [ro.build.version.security_patch]:[06-10-2023]
Per alcuni dispositivi con Android 10 o versioni successive, l'aggiornamento di sistema Google Play avrà una stringa di date corrispondente a 2023-10-01 livello patch di sicurezza. Consulta questo articolo per maggiori dettagli su come installazione aggiornamenti della sicurezza.
2. Perché questo bollettino contiene tre livelli di patch di sicurezza?
Questo bollettino contiene tre livelli di patch di sicurezza per far sì che i partner Android la flessibilità necessaria per correggere un sottoinsieme di vulnerabilità simili in tutte i dispositivi Android più rapidamente. I partner Android sono invitati a risolvere tutti i problemi risolvere i problemi presenti in questo bollettino e utilizzare il livello patch di sicurezza più recente.
- Dispositivi che usano il livello patch di sicurezza dell'1/10/2023 deve includere tutti i problemi associati a quel livello patch di sicurezza, nonché come correzioni per tutti i problemi riportati nei bollettini sulla sicurezza precedenti.
- Dispositivi che utilizzano il livello patch di sicurezza del 5/10/2023 o più recenti devono includere tutte le patch applicabili in questa e in quelle precedenti bollettini.
- Dispositivi che utilizzano il livello patch di sicurezza del 6/10/2023 o più recenti devono includere tutte le patch applicabili in questa e in quelle precedenti bollettini.
Consigliamo ai partner di raggruppare le correzioni per tutti i loro problemi con un singolo aggiornamento.
3. Che cosa significano le voci nella colonna Tipo?
Voci nella colonna Tipo della tabella dei dettagli delle vulnerabilità fare riferimento alla classificazione della vulnerabilità di sicurezza.
| Abbreviazione | Definizione |
|---|---|
| RCE | Esecuzione di codice remota |
| EP | Elevazione dei privilegi |
| ID | Divulgazione di informazioni |
| DoS | denial of service |
| N/D | Classificazione non disponibile |
4. Cosa significano le voci nella colonna Riferimenti?
Voci nella colonna Riferimenti dei dettagli delle vulnerabilità può contenere un prefisso che identifica l'organizzazione a cui riferimento .
| Prefisso | Riferimenti |
|---|---|
| A- | ID bug Android |
| Controllo qualità- | Numero di riferimento Qualcomm |
| M- | Numero di riferimento MediaTek |
| N- | Numero di riferimento NVIDIA |
| B- | Numero di riferimento Broadcom |
| U- | Numero di riferimento UNISOC |
5. Cosa fa un simbolo * accanto all'ID bug Android nei Riferimenti media?
I problemi non disponibili pubblicamente sono contrassegnati da un asterisco (*) accanto al corrispondente l'ID di riferimento. L'aggiornamento relativo a questo problema è generalmente incluso nella versione driver binari per i dispositivi Pixel messi a disposizione Google Sito per sviluppatori.
6. Perché le vulnerabilità di sicurezza sono suddivise tra questo bollettino e bollettini sulla sicurezza dei dispositivi / partner, come Bollettino Pixel?
Le vulnerabilità di sicurezza documentate in questo bollettino sono: necessaria per dichiarare il livello patch di sicurezza più recente su Android dispositivi mobili. Ulteriori vulnerabilità di sicurezza documentate i bollettini sulla sicurezza dei dispositivi / partner non sono obbligatori per che dichiara un livello patch di sicurezza. Produttori di dispositivi Android e chipset potrebbero anche pubblicare dettagli sulle vulnerabilità di sicurezza specifici dei loro prodotti, come Google, Huawei LGE Motorola Nokia, o Samsung
Versioni
| Versione | Data | Note |
|---|---|---|
| 1,0 | 2 ottobre 2023 | Bollettino pubblicato |