Android 安全公告包含影响 Android 设备的安全漏洞的详细信息。 2023 年 8 月 5 日或更高版本的安全补丁级别可解决所有这些问题。要了解如何检查设备的安全补丁级别,请参阅检查和更新您的 Android 版本。
Android 合作伙伴至少会在发布前一个月收到有关所有问题的通知。这些问题的源代码补丁已发布到 Android 开源项目 (AOSP) 存储库,并从此公告链接。此公告还包含 AOSP 之外的补丁的链接。
其中最严重的问题是系统组件中的严重安全漏洞,该漏洞可能导致远程(近端/相邻)代码执行,而无需额外的执行权限。利用该漏洞不需要用户交互。严重性评估基于利用漏洞可能对受影响设备产生的影响,假设平台和服务缓解措施出于开发目的而关闭或成功绕过。
请参阅Android 和 Google Play Protect 缓解措施部分,了解有关Android 安全平台保护和 Google Play Protect 的详细信息,这些保护可提高 Android 平台的安全性。
Android 和 Google 服务缓解措施
这是Android 安全平台和服务保护(例如Google Play Protect)提供的缓解措施的摘要。这些功能降低了 Android 上安全漏洞被成功利用的可能性。
- 新版 Android 平台的增强功能使得利用 Android 上的许多问题变得更加困难。我们鼓励所有用户尽可能更新到最新版本的 Android。
- Android 安全团队通过Google Play Protect积极监控滥用行为,并向用户发出有关潜在有害应用程序的警告。默认情况下,在具有Google 移动服务的设备上启用 Google Play Protect,这对于从 Google Play 外部安装应用程序的用户尤其重要。
2023-08-01 安全补丁级漏洞详情
在下面的部分中,我们提供了适用于 2023-08-01 补丁级别的每个安全漏洞的详细信息。漏洞按其影响的组件进行分组。下表描述了问题,包括 CVE ID、相关参考文献、漏洞类型、严重性和更新的 AOSP 版本(如果适用)。如果可用,我们会将解决问题的公共更改链接到错误 ID,例如 AOSP 更改列表。当多个更改与单个错误相关时,其他参考链接到错误 ID 后面的数字。搭载 Android 10 及更高版本的设备可能会收到安全更新以及Google Play 系统更新。
安卓运行时
此部分中的漏洞可能会导致远程信息泄露,而无需额外的执行权限。利用该漏洞不需要用户交互。| CVE | 参考 | 类型 | 严重性 | 更新了 AOSP 版本 |
|---|---|---|---|---|
| CVE-2023-21265 | A-262521447 | ID | 高的 | 11、12、12L、13 |
框架
本节中最严重的漏洞可能会导致远程代码执行,而无需额外的执行权限。利用该漏洞不需要用户交互。| CVE | 参考 | 类型 | 严重性 | 更新了 AOSP 版本 |
|---|---|---|---|---|
| CVE-2023-21287 | A-278221085 | 远程代码执行 | 高的 | 11、12、12L、13 |
| CVE-2023-21269 | A-271576718 | 结束时间 | 高的 | 13 |
| CVE-2023-21270 | A-283006437 [ 2 ] | 结束时间 | 高的 | 12、12L、13 |
| CVE-2023-21272 | A-227471459 | 结束时间 | 高的 | 11、12、12升 |
| CVE-2023-21278 | A-281807669 | 结束时间 | 高的 | 12、12L、13 |
| CVE-2023-21281 | A-265431505 | 结束时间 | 高的 | 11、12、12L、13 |
| CVE-2023-21286 | A-277740082 | 结束时间 | 高的 | 11、12、12L、13 |
| CVE-2023-21276 | A-213170822 | ID | 高的 | 12、12L、13 |
| CVE-2023-21277 | A-281018094 | ID | 高的 | 12、12L、13 |
| CVE-2023-21279 | A-277741109 | ID | 高的 | 12、12L、13 |
| CVE-2023-21283 | A-280797684 [ 2 ] | ID | 高的 | 11、12、12L、13 |
| CVE-2023-21288 | A-276294099 | ID | 高的 | 11、12、12L、13 |
| CVE-2023-21289 | A-272020068 | ID | 高的 | 11、12、12L、13 |
| CVE-2023-21292 | A-236688380 | ID | 高的 | 11、12、12L、13 |
| CVE-2023-21280 | A-270049379 | 拒绝服务 | 高的 | 12、12L、13 |
| CVE-2023-21284 | A-260729089 | 拒绝服务 | 高的 | 11、12、12L、13 |
媒体框架
此部分中的漏洞可能会导致远程代码执行,而无需额外的执行权限。漏洞利用需要用户交互。| CVE | 参考 | 类型 | 严重性 | 更新了 AOSP 版本 |
|---|---|---|---|---|
| CVE-2023-21282 | A-279766766 | 远程代码执行 | 批判的 | 11、12、12L、13 |
系统
本节中最严重的漏洞可能会导致远程(邻近/相邻)代码执行,而无需额外的执行权限。利用该漏洞不需要用户交互。| CVE | 参考 | 类型 | 严重性 | 更新了 AOSP 版本 |
|---|---|---|---|---|
| CVE-2023-21273 | A-272783039 | 远程代码执行 | 批判的 | 11、12、12L、13 |
| CVE-2023-20965 | A-250574778 [ 2 ] [ 3 ] | 结束时间 | 高的 | 13 |
| CVE-2023-21132 | A-253043218 | 结束时间 | 高的 | 12、12L、13 |
| CVE-2023-21133 | A-253043502 | 结束时间 | 高的 | 12、12L、13 |
| CVE-2023-21134 | A-253043495 | 结束时间 | 高的 | 12、12L、13 |
| CVE-2023-21140 | A-253043490 | 结束时间 | 高的 | 12、12L、13 |
| CVE-2023-21242 | A-277824547 | 结束时间 | 高的 | 13 |
| CVE-2023-21275 | A-278691965 | 结束时间 | 高的 | 12、12L、13 |
| CVE-2023-21271 | A-269455813 | ID | 高的 | 12、12L、13 |
| CVE-2023-21274 | A-269456018 | ID | 高的 | 12、12L、13 |
| CVE-2023-21285 | A-271851153 | ID | 高的 | 11、12、12L、13 |
| CVE-2023-21268 | A-264880895 | 拒绝服务 | 高的 | 11、12、12L、13 |
| CVE-2023-21290 | A-264880689 | 拒绝服务 | 高的 | 11、12、12L、13 |
Google Play 系统更新
Project Mainline 组件中包含以下问题。
| 子组件 | CVE |
|---|---|
| 媒体编解码器 | CVE-2023-21282 |
| 权限控制器 | CVE-2023-21132、CVE-2023-21133、CVE-2023-21134、CVE-2023-21140 |
| 无线上网 | CVE-2023-20965、CVE-2023-21242 |
2023-08-05 安全补丁级漏洞详情
在下面的部分中,我们提供了适用于 2023-08-05 补丁级别的每个安全漏洞的详细信息。漏洞按其影响的组件进行分组。下表描述了问题,包括 CVE ID、相关参考文献、漏洞类型、严重性和更新的 AOSP 版本(如果适用)。如果可用,我们会将解决问题的公共更改链接到错误 ID,例如 AOSP 更改列表。当多个更改与单个错误相关时,其他参考链接到错误 ID 后面的数字。
核心
本节中最严重的漏洞可能会导致本地权限升级以及所需的系统执行权限。利用该漏洞不需要用户交互。| CVE | 参考 | 类型 | 严重性 | 子组件 |
|---|---|---|---|---|
| CVE-2023-21264 | A-279739439 上游内核[ 2 ] | 结束时间 | 批判的 | 键盘虚拟机 |
| CVE-2020-29374 | A-174737879 上游内核[ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] | 结束时间 | 高的 | 奶牛 |
手臂组件
此漏洞影响 Arm 组件,可直接从 Arm 获取更多详细信息。此问题的严重性评估由 Arm 直接提供。
| CVE | 参考 | 严重性 | 子组件 | |
|---|---|---|---|---|
| CVE-2022-34830 | A-227655299 * | 高的 | 马里 |
联发科技组件
此漏洞影响 MediaTek 组件,可直接从 MediaTek 获取更多详细信息。此问题的严重性评估由 MediaTek 直接提供。
| CVE | 参考 | 严重性 | 子组件 | |
|---|---|---|---|---|
| CVE-2023-20780 | A-285686353 M-ALPS08017756 * | 高的 | 密钥安装 |
高通闭源组件
这些漏洞影响 Qualcomm 闭源组件,并在相应的 Qualcomm 安全公告或安全警报中进行了更详细的描述。这些问题的严重性评估由高通直接提供。
| CVE | 参考 | 严重性 | 子组件 | |
|---|---|---|---|---|
| CVE-2022-40510 | A-268059589 * | 批判的 | 闭源组件 | |
| CVE-2023-21626 | A-268060065 * | 高的 | 闭源组件 | |
| CVE-2023-22666 | A-280342037 * | 高的 | 闭源组件 | |
| CVE-2023-28537 | A-280341737 * | 高的 | 闭源组件 | |
| CVE-2023-28555 | A-280342401 * | 高的 | 闭源组件 |
常见问题及解答
本节回答阅读本公告后可能出现的常见问题。
1. 如何确定我的设备是否已更新以解决这些问题?
要了解如何检查设备的安全补丁级别,请参阅检查和更新您的 Android 版本。
- 2023-08-01 或更高版本的安全补丁程序级别解决了与 2023-08-01 安全补丁程序级别相关的所有问题。
- 2023-08-05 或更高版本的安全补丁级别解决了与 2023-08-05 安全补丁级别和所有先前补丁级别相关的所有问题。
包含这些更新的设备制造商应将补丁字符串级别设置为:
- [ro.build.version.security_patch]:[2023-08-01]
- [ro.build.version.security_patch]:[2023-08-05]
对于某些运行 Android 10 或更高版本的设备,Google Play 系统更新将具有与 2023-08-01 安全补丁级别匹配的日期字符串。有关如何安装安全更新的更多详细信息,请参阅本文。
2. 为什么本公告有两个安全补丁级别?
此公告有两个安全补丁级别,以便 Android 合作伙伴能够灵活地更快地修复所有 Android 设备上相似的漏洞子集。我们鼓励 Android 合作伙伴修复本公告中的所有问题并使用最新的安全补丁级别。
- 使用 2023-08-01 安全补丁级别的设备必须包含与该安全补丁级别相关的所有问题,以及之前安全公告中报告的所有问题的修复程序。
- 使用 2023-08-05 或更高版本安全补丁程序级别的设备必须包含本(和之前)安全公告中的所有适用补丁程序。
我们鼓励合作伙伴将他们正在解决的所有问题的修复程序捆绑在一次更新中。
3.类型栏中的条目是什么意思?
漏洞详细信息表的“类型”列中的条目引用安全漏洞的分类。
| 缩写 | 定义 |
|---|---|
| 远程代码执行 | 远程代码执行 |
| 结束时间 | 特权提升 |
| ID | 信息披露 |
| 拒绝服务 | 拒绝服务 |
| 不适用 | 分类不可用 |
4.参考文献栏中的条目是什么意思?
漏洞详细信息表的引用列下的条目可能包含标识引用值所属组织的前缀。
| 字首 | 参考 |
|---|---|
| A- | 安卓错误 ID |
| QC- | 高通参考号 |
| M- | 联发科参考号 |
| N- | NVIDIA 参考号 |
| B- | 博通参考号 |
| U- | 紫光展锐参考号 |
5.参考资料栏中 Android bug ID 旁边的 * 是什么意思?
未公开发布的问题在相应的参考 ID 旁边有一个 *。该问题的更新通常包含在Google 开发者网站上提供的 Pixel 设备的最新二进制驱动程序中。
6. 为什么安全漏洞会分为本公告和设备/合作伙伴安全公告(例如 Pixel 公告)?
本安全公告中记录的安全漏洞需要在 Android 设备上声明最新的安全补丁级别。声明安全补丁级别不需要设备/合作伙伴安全公告中记录的其他安全漏洞。 Android 设备和芯片组制造商还可能发布特定于其产品的安全漏洞详细信息,例如Google 、华为、 LGE 、摩托罗拉、诺基亚或三星。
版本
| 版本 | 日期 | 笔记 |
|---|---|---|
| 1.0 | 2023 年 8 月 7 日 | 公告发布 |
| 2.0 | 2023 年 9 月 14 日 | 修订后的 CVE 表 |