Android Güvenlik Bülteni, güvenlik açıklarının ayrıntılarını içerir Android cihazları etkiliyor. Şu güvenlik yaması düzeyleri: 06.10.2023 veya sonraki bir tarihte bu sorunların tamamı giderilmelidir. Bir cihazın güvenlik yaması düzeyini nasıl kontrol edeceğinizi ����renmek için bkz. Android sürümünüzü kontrol edin ve güncelleyin.
Android iş ortakları, tüm sorunlar konusunda en az bir ay önce bilgilendirilir yayın. Bu sorunlar için kaynak kodu yamaları Android Açık Kaynak Proje (AOSP) deposudur ve bu bültenden bağlantı içerir. Bu bülten AOSP dışındaki yamaların bağlantılarını da içerir.
Önem derecesi, değerlendirmenin bundan etkilenen bir cihazda, güvenlik açığından yararlanmanız platform ve hizmet hafifletmelerinin geliştirme amacıyla kapatıldığı varsayıldığında veya başarıyla atlatıldığından emin olun.
Android ve Google Play Protect çözümleriyle ilgili daha fazla bilgi için Android güvenlik platformu korumalarını ve Google Play Protect'i destekler. Android platformu.
Android ve Google hizmeti çözümler
Bu, Google Ads uzmanı tarafından sağlanan çözümlerin Android güvenlik platformu ve hizmet korumaları (örneğin, Google Play Koruma. Bu özellikler, güvenlik açığının Android'de güvenlik açıklarından başarılı bir şekilde yararlanılabilir.
- Android'de birçok sorunun istismar edilmesini zorlaştırmak için Android platformunun yeni sürümlerindeki geliştirmeler hakkında daha fazla bilgi edinin. Hepinize kullanıcı Android'in en son sürümüne güncelleme yapabilirsiniz.
- Android güvenlik ekibi, kötüye kullanım olup olmadığını Google Play Koruma ve kullanıcıları Potansiyel olarak Zararlı Uygulamalar. Google Play Protect şu cihazlarda varsayılan olarak etkindir: cihazlar Google ile Mobil cihaz Hizmetler ve Google Play'in dışında kalan süre.
01.10.2023 güvenlik yaması düzeyindeki güvenlik açığı ayrıntıları
Aşağıdaki bölümlerde, söz konusu güvenlik önlemlerinin her biri 01.10.2023 yama düzeyine uygulanan güvenlik açıkları. Güvenlik açıkları, etkiledikleri bileşenin altında gruplandırılır. Sorunlar aşağıdaki tablolarda açıklanmıştır ve bu sorunlar arasında, güvenlik açığının türünü, önem, ve güncellenmiş AOSP sürümleri (geçerli olduğunda). Mevcut olduğunda, sorunu ele alan kamu değişikliği hata kimliği (ör. AOSP değişiklik listesi) Tek bir hatayla ilgili birden fazla değişiklik olduğunda ek referanslar bu hata kimliğini takip eden numaralara bağlanmış. Android 10 ve sonraki sürümleri çalıştıran cihazlar, güvenlik güncellemelerinin yanı sıra Google Play sistem güncellemelerini inceleyin.
Çerçeve
Bu bölümdeki en ciddi güvenlik açığı, yerel konuyu üst birime iletme ek yürütme ayrıcalığına ihtiyaç duymadan çalışır.
| CVE | Referanslar | Tür | Önem derecesi | Güncellenen AOSP sürümleri |
|---|---|---|---|---|
| CVE-2023-40116 | A-270368476 [2] | EoP | Yüksek | 11, 12, 12L |
| CVE-2023-40120 | A-274775190 | EoP | Yüksek | 11, 12, 12L, 13 |
| CVE-2023-40131 | A-282919145 | EoP | Yüksek | 12, 12L, 13 |
| CVE-2023-40140 | A-274058082 | EoP | Yüksek | 11, 12, 12L, 13 |
| CVE-2023-21291 | A-277593270 | Kimlik | Yüksek | 11, 12, 12L, 13 |
| CVE-2023-40121 | A-224771621 | Kimlik | Yüksek | 11, 12, 12L, 13 |
| CVE-2023-40134 | A-283101289 | Kimlik | Yüksek | 12, 12L, 13 |
| CVE-2023-40136 | A-281666022 | Kimlik | Yüksek | 11, 12, 12L, 13 |
| CVE-2023-40137 | A-281665050 | Kimlik | Yüksek | 11, 12, 12L, 13 |
| CVE-2023-40138 | A-281534749 | Kimlik | Yüksek | 11, 12, 12L, 13 |
| CVE-2023-40139 | A-281533566 | Kimlik | Yüksek | 11, 12, 12L, 13 |
Sistem
Bu bölümdeki en ciddi güvenlik açığı, Ek yürütme ayrıcalıkları olmadan (proximal/yakın) kod yürütme gerekir.
| CVE | Referanslar | Tür | Önem derecesi | Güncellenen AOSP sürümleri |
|---|---|---|---|---|
| CVE-2023-40129 | A-273874525 | RCE | Kritik | 12, 12L, 13 |
| CVE-2023-21244 | A-276729064 [2] [3] | EoP | Yüksek | 11, 12, 12L, 13 |
| CVE-2023-40117 | A-253043065 [2] | EoP | Yüksek | 11, 12, 12L, 13 |
| CVE-2023-40125 | A-279902472 | EoP | Yüksek | 11, 12, 12L, 13 |
| CVE-2023-40128 | A-274231102 | EoP | Yüksek | 11, 12, 12L, 13 |
| CVE-2023-40130 | A-289809991 | EoP | Yüksek | 11, 12, 12L, 13 |
| CVE-2023-40123 | A-278246904 | Kimlik | Yüksek | 11, 12, 12L, 13 |
| CVE-2023-40127 | A-262244882 | Kimlik | Yüksek | 11, 12, 12L, 13 |
| CVE-2023-40133 | A-283264674 | Kimlik | Yüksek | 11, 12, 12L, 13 |
| CVE-2023-40135 | A-281848557 | Kimlik | Yüksek | 11, 12, 12L, 13 |
| CVE-2023-21252 | A-275339978 [2] | DoS | Yüksek | 11, 12, 12L, 13 |
| CVE-2023-21253 | A-266580022 [2] [3] | DoS | Yüksek | 11, 12, 12L, 13 |
Google Play sistem güncellemeleri
Aşağıdaki sorunlar, Project Mainline bileşenlerine dahil edilmiştir.
| Alt bileşen | CVE |
|---|---|
| Medya Sağlayıcısı | CVE-2023-40127 |
| Kablosuz | CVE-2023-21252 |
05.10.2023 güvenlik yaması düzeyindeki güvenlik açığı ayrıntıları
Aşağıdaki bölümlerde, söz konusu güvenlik önlemlerinin her biri 05.10.2023 yama düzeyine uygulanan güvenlik açıkları. Güvenlik açıkları, etkiledikleri bileşenin altında gruplandırılır. Sorunlar aşağıdaki tablolarda açıklanmıştır ve bu sorunlar arasında, güvenlik açığının türünü, önem, ve güncellenmiş AOSP sürümleri (geçerli olduğunda). Mevcut olduğunda, sorunu ele alan kamu değişikliği hata kimliği (ör. AOSP değişiklik listesi) Tek bir hatayla ilgili birden fazla değişiklik olduğunda ek referanslar bu hata kimliğini takip eden numaralara bağlanmış.
Kol bileşenleri
Bu güvenlik açıkları Arm bileşenlerini etkilemektedir. Daha fazla ayrıntıyı mevcuttur. doğrudan Arm. Bu sorunların önem derecesi, Google Haberler'de doğrudan Arm. tarafından
| CVE | Referanslar | Önem derecesi | Alt bileşen |
|---|---|---|---|
| CVE-2021-44828 | A-296461583 * | Yüksek | Mali |
| CVE-2022-28348 | A-296463357 * | Yüksek | Mali |
| CVE-2023-4211 | A-294605494 * | Yüksek | Mali |
| CVE-2023-33200 | A-287627703 * | Yüksek | Mali |
| CVE-2023-34970 | A-287624919 * | Yüksek | Mali |
MediaTek bileşenleri
Bu güvenlik açıkları MediaTek bileşenlerini etkilemektedir. Diğer ayrıntılar ise doğrudan MediaTek'ten edinilebilir. Bu sorunların önem derecesi doğrudan MediaTek tarafından sağlanır.
| CVE | Referanslar | Önem derecesi | Alt bileşen |
|---|---|---|---|
| CVE-2023-20819 | A-294779648
M-MOLY01068234 * |
Yüksek | CDMA PPP protokolü |
| CVE-2023-32819 | A-294779649
M-ALPS07993705 * |
Yüksek | göster |
| CVE-2023-32820 | A-294781433
M-ALPS07932637 * |
Yüksek | wlan donanım yazılımı |
Unisoc bileşenleri
Bu güvenlik açığı Unisoc bileşenlerini etkilemektedir. Daha fazla ayrıntı aşağıda verilmiştir mevcut doğrudan Unisoc. Bu sorunun önem derecesi doğrudan Unisoc tarafından sağlanır.
| CVE | Referanslar | Önem derecesi | Alt bileşen |
|---|---|---|---|
| CVE-2023-40638 | A-296491611
U-2212107* |
Yüksek | Android |
Qualcomm bileşenleri
Bu güvenlik açıkları Qualcomm bileşenlerini etkiler ve daha ayrıntılı açıklamalar veya güvenlik uyarısında bulunan tüm ayrıntıları içerdiğinden emin olun. Bu sorunların önem derecesi doğrudan Qualcomm tarafından sağlanır.
| CVE | Referanslar | Önem derecesi | Alt bileşen |
|---|---|---|---|
| CVE-2023-33029 | A-290061916
QC-CR#3446314 |
Yüksek | Çekirdek |
| CVE-2023-33034 | A-290060972
QC-CR#3438425 |
Yüksek | Ses |
| CVE-2023-33035 | A-290061247
QC-CR#3438021 |
Yüksek | Ses |
Qualcomm kapalı kaynak bileşenleri
Bu güvenlik açıkları Qualcomm kapalı kaynak bileşenlerini etkiler ve ilgili Qualcomm güvenlik bülteninde daha ayrıntılı olarak açıklanan güvenlik uyarısı. Bu sorunların önem derecesi doğrudan Qualcomm tarafından sağlanır.
| CVE | Referanslar | Önem derecesi | Alt bileşen |
|---|---|---|---|
| CVE-2023-24855 | A-276750662 * | Kritik | Kapalı kaynak bileşeni |
| CVE-2023-28540 | A-276751073 * | Kritik | Kapalı kaynak bileşeni |
| CVE-2023-33028 | A-290060590 * | Kritik | Kapalı kaynak bileşeni |
| CVE-2023-21673 | A-276750698 * | Yüksek | Kapalı kaynak bileşeni |
| CVE-2023-22385 | A-276750699 * | Yüksek | Kapalı kaynak bileşeni |
| CVE-2023-24843 | A-276750762 * | Yüksek | Kapalı kaynak bileşeni |
| CVE-2023-24844 | A-276750872 * | Yüksek | Kapalı kaynak bileşeni |
| CVE-2023-24847 | A-276751090 * | Yüksek | Kapalı kaynak bileşeni |
| CVE-2023-24848 | A-276750995* | Yüksek | Kapalı kaynak bileşeni |
| CVE-2023-24849 | A-276751370* | Yüksek | Kapalı kaynak bileşeni |
| CVE-2023-24850 | A-276751108 * | Yüksek | Kapalı kaynak bileşeni |
| CVE-2023-24853 | A-276751372 * | Yüksek | Kapalı kaynak bileşeni |
| CVE-2023-33026 | A-290061996 * | Yüksek | Kapalı kaynak bileşeni |
| CVE-2023-33027 | A-290061249 * | Yüksek | Kapalı kaynak bileşeni |
06.10.2023 güvenlik yaması düzeyindeki güvenlik açığı ayrıntıları
Aşağıdaki bölümlerde, söz konusu güvenlik önlemlerinin her biri (06.10.2023 yama düzeyi için geçerli olan güvenlik açıkları) Güvenlik açıkları, etkiledikleri bileşenin altında gruplandırılır. Sorunlar aşağıdaki tablolarda açıklanmıştır ve bu sorunlar arasında, güvenlik açığının türünü, önem, ve güncellenmiş AOSP sürümleri (geçerli olduğunda). Mevcut olduğunda, sorunu ele alan kamu değişikliği hata kimliği (ör. AOSP değişiklik listesi) Tek bir hatayla ilgili birden fazla değişiklik olduğunda ek referanslar bu hata kimliğini takip eden numaralara bağlanmış.
Sistem
Bu bölümdeki güvenlik açığı, kullanıcı etkileşimi olmadan kötüye kullanıma yol açabilir.
| CVE | Referanslar | Tür | Önem derecesi | Güncellenen AOSP sürümleri |
|---|---|---|---|---|
| CVE-2023-4863 | A-299477569 | RCE | Kritik | 11, 12, 12L, 13 |
Sık sorulan sorular ve cevaplar
Bu bölümde, bu bölümü okuduktan sonra aklınıza gelebilecek genel sorular yanıtlanmaktadır. bülten.
1. Cihazımın bu sorunları giderecek şekilde güncellenip güncellenmediğini nasıl anlarım? sorun yaşıyor musunuz?
Bir cihazın güvenlik yaması düzeyini nasıl kontrol edeceğinizi öğrenmek için bkz. Android sürümünüzü kontrol edin ve güncelleyin.
- 01.10.2023 veya sonraki bir adres için güvenlik yaması düzeyleri 01.10.2023 güvenlik yaması ile ilgili tüm sorunlar seviyesidir.
- 05.10.2023 veya sonraki bir adres için güvenlik yaması düzeyleri 05.10.2023 güvenlik yaması ile ilgili tüm sorunlar ve önceki tüm yama seviyeleri için geçerlidir.
- 06.10.2023 veya sonraki bir adres için güvenlik yaması düzeyleri 06.10.2023 güvenlik yaması ile ilgili tüm sorunlar ve önceki tüm yama seviyeleri için geçerlidir.
Bu güncellemeleri içeren cihaz üreticileri yama dizesini ayarlamalıdır seviye:
- [ro.build.version.security_yama]:[01.10.2023]
- [ro.build.version.security_yama]:[05.10.2023]
- [ro.build.version.security_yama]:[06.10.2023]
Android 10 veya sonraki sürümleri çalıştıran bazı cihazlarda Google Play sistem güncellemesi 01.10.2023 ile eşleşen bir tarih dizesi olur güvenlik yaması düzeyi. Nasıl yapacağınızla ilgili daha fazla bilgi için lütfen bu makaleyi inceleyin. yükleme güvenlik güncellemeleri.
2. Bu bültende neden üç güvenlik yaması düzeyi var?
Bu bültende Android iş ortaklarının, güvenlik açıklarının bir alt kümesini düzeltme esnekliğine sahip olur. Android cihazlar daha hızlı. Android iş ortaklarının, tüm gizliliklerini sorunları gidermeye çalışır ve en son güvenlik yaması düzeyini kullanabilirsiniz.
- 01.10.2023 güvenlik yaması seviyesini kullanan cihazlar söz konusu güvenlik yaması düzeyiyle ilişkili tüm sorunları da içermelidir. olması önceki güvenlik bültenlerinde bildirilen tüm sorunlar için düzeltmeler.
- 05.10.2023 güvenlik yaması düzeyini kullanan cihazlar veya daha yeni sürümler, bu (ve önceki) güvenlik kapsamında geçerli tüm yamaları içermelidir. bülten.
- 06.10.2023 güvenlik yaması düzeyini kullanan cihazlar veya daha yeni sürümler, bu (ve önceki) güvenlik kapsamında geçerli tüm yamaları içermelidir. bülten.
İş ortaklarının, karşılaştıkları tüm sorunların çözümlerini paket halinde sunması önerilir. tek bir güncellemede ele alacağız.
3. Tür sütunundaki girişler ne anlama geliyor?
Güvenlik açığı ayrıntıları tablosunun Tür sütunundaki girişler Bu da güvenlik açığının sınıflandırmasına bakmaktır.
| Kısaltma | Tanım |
|---|---|
| RCE | Uzaktan kod yürütme |
| EoP | Ayrıcalık yükseltme |
| Kimlik | Bilgilerin ifşa edilmesi |
| DoS | Hizmet reddi |
| Yok | Sınıflandırma yok |
4. Referanslar sütunundaki girişler ne anlama geliyor?
Güvenlik açığı ayrıntılarının Referanslar sütunundaki girişler tablo, kullanıcının bağlı olduğu kuruluşu tanımlayan referans ait olması gerekir.
| Ön numara | Referans |
|---|---|
| A- | Android hata kimliği |
| Kalite Kontrol | Qualcomm referans numarası |
| A- | MediaTek referans numarası |
| H- | NVIDIA referans numarası |
| B- | Broadcom referans numarası |
| U- | UNISOC referans numarası |
5. Referanslar'da Android hata kimliğinin yanındaki * simgesi ne anlama gelir? sütununun anlamı nedir?
Herkese açık olmayan sayılarda, ilgili yayının yanında * işareti bulunur referans kimliği. Bu sorunla ilgili güncelleme, genellikle Pixel cihazlar için ikili program sürücülerini Google Geliştirici sitesi.
6. Güvenlik açıkları neden bu bülten ile iş ortağı güvenlik bültenleri (örneğin, Pixel bültenini izleyin.
Bu güvenlik bülteninde açıklanan güvenlik açıkları Android'de en son güvenlik yaması düzeyini beyan etmek için gerekir cihazlar. cihaz / iş ortağı güvenlik bültenleri artık gerekli değildir. güvenlik yaması düzeyi tanımlama. Android cihaz ve yonga seti üreticileri kendi ürünlerine özel güvenlik açığı ayrıntılarını yayınlayabilir, örneğin: Google Huawei LGE, Motorola Nokia, veya Samsun.
Sürümler
| Sürüm | Tarih | Notlar |
|---|---|---|
| 1,0 | 2 Ekim 2023 | Bülten yayınlandı |