Android Güvenlik Bülteni - Ekim 2023

Yayınlanma tarihi: 2 Ekim 2023 | Güncelleme tarihi: 26 Temmuz 2024

Android Güvenlik Bülteni, güvenlik açıklarının ayrıntılarını içerir Android cihazları etkiliyor. Şu güvenlik yaması düzeyleri: 06.10.2023 veya sonraki bir tarihte bu sorunların tamamı giderilmelidir. Bir cihazın güvenlik yaması düzeyini nasıl kontrol edeceğinizi öğrenmek için bkz. Android sürümünüzü kontrol edin ve güncelleyin.

Android iş ortakları, tüm sorunlar konusunda en az bir ay önce bilgilendirilir yayın. Bu sorunlar için kaynak kodu yamaları Android Açık Kaynak Proje (AOSP) deposudur ve bu bültenden bağlantı içerir. Bu bülten AOSP dışındaki yamaların bağlantılarını da içerir.

Önem derecesi, değerlendirmenin bundan etkilenen bir cihazda, güvenlik açığından yararlanmanız platform ve hizmet hafifletmelerinin geliştirme amacıyla kapatıldığı varsayıldığında veya başarıyla atlatıldığından emin olun.

Android ve Google Play Protect çözümleriyle ilgili daha fazla bilgi için Android güvenlik platformu korumalarını ve Google Play Protect'i destekler. Android platformu.

Android ve Google hizmeti çözümler

Bu, Google Ads uzmanı tarafından sağlanan çözümlerin Android güvenlik platformu ve hizmet korumaları (örneğin, Google Play Koruma. Bu özellikler, güvenlik açığının Android'de güvenlik açıklarından başarılı bir şekilde yararlanılabilir.

  • Android'de birçok sorunun istismar edilmesini zorlaştırmak için Android platformunun yeni sürümlerindeki geliştirmeler hakkında daha fazla bilgi edinin. Hepinize kullanıcı Android'in en son sürümüne güncelleme yapabilirsiniz.
  • Android güvenlik ekibi, kötüye kullanım olup olmadığını Google Play Koruma ve kullanıcıları Potansiyel olarak Zararlı Uygulamalar. Google Play Protect şu cihazlarda varsayılan olarak etkindir: cihazlar Google ile Mobil cihaz Hizmetler ve Google Play'in dışında kalan süre.

01.10.2023 güvenlik yaması düzeyindeki güvenlik açığı ayrıntıları

Aşağıdaki bölümlerde, söz konusu güvenlik önlemlerinin her biri 01.10.2023 yama düzeyine uygulanan güvenlik açıkları. Güvenlik açıkları, etkiledikleri bileşenin altında gruplandırılır. Sorunlar aşağıdaki tablolarda açıklanmıştır ve bu sorunlar arasında, güvenlik açığının türünü, önem, ve güncellenmiş AOSP sürümleri (geçerli olduğunda). Mevcut olduğunda, sorunu ele alan kamu değişikliği hata kimliği (ör. AOSP değişiklik listesi) Tek bir hatayla ilgili birden fazla değişiklik olduğunda ek referanslar bu hata kimliğini takip eden numaralara bağlanmış. Android 10 ve sonraki sürümleri çalıştıran cihazlar, güvenlik güncellemelerinin yanı sıra Google Play sistem güncellemelerini inceleyin.

Çerçeve

Bu bölümdeki en ciddi güvenlik açığı, yerel konuyu üst birime iletme ek yürütme ayrıcalığına ihtiyaç duymadan çalışır.

CVE Referanslar Tür Önem derecesi Güncellenen AOSP sürümleri
CVE-2023-40116 A-270368476 [2] EoP Yüksek 11, 12, 12L
CVE-2023-40120 A-274775190 EoP Yüksek 11, 12, 12L, 13
CVE-2023-40131 A-282919145 EoP Yüksek 12, 12L, 13
CVE-2023-40140 A-274058082 EoP Yüksek 11, 12, 12L, 13
CVE-2023-21291 A-277593270 Kimlik Yüksek 11, 12, 12L, 13
CVE-2023-40121 A-224771621 Kimlik Yüksek 11, 12, 12L, 13
CVE-2023-40134 A-283101289 Kimlik Yüksek 12, 12L, 13
CVE-2023-40136 A-281666022 Kimlik Yüksek 11, 12, 12L, 13
CVE-2023-40137 A-281665050 Kimlik Yüksek 11, 12, 12L, 13
CVE-2023-40138 A-281534749 Kimlik Yüksek 11, 12, 12L, 13
CVE-2023-40139 A-281533566 Kimlik Yüksek 11, 12, 12L, 13

Sistem

Bu bölümdeki en ciddi güvenlik açığı, Ek yürütme ayrıcalıkları olmadan (proximal/yakın) kod yürütme gerekir.

CVE Referanslar Tür Önem derecesi Güncellenen AOSP sürümleri
CVE-2023-40129 A-273874525 RCE Kritik 12, 12L, 13
CVE-2023-21244 A-276729064 [2] [3] EoP Yüksek 11, 12, 12L, 13
CVE-2023-40117 A-253043065 [2] EoP Yüksek 11, 12, 12L, 13
CVE-2023-40125 A-279902472 EoP Yüksek 11, 12, 12L, 13
CVE-2023-40128 A-274231102 EoP Yüksek 11, 12, 12L, 13
CVE-2023-40130 A-289809991 EoP Yüksek 11, 12, 12L, 13
CVE-2023-40123 A-278246904 Kimlik Yüksek 11, 12, 12L, 13
CVE-2023-40127 A-262244882 Kimlik Yüksek 11, 12, 12L, 13
CVE-2023-40133 A-283264674 Kimlik Yüksek 11, 12, 12L, 13
CVE-2023-40135 A-281848557 Kimlik Yüksek 11, 12, 12L, 13
CVE-2023-21252 A-275339978 [2] DoS Yüksek 11, 12, 12L, 13
CVE-2023-21253 A-266580022 [2] [3] DoS Yüksek 11, 12, 12L, 13

Google Play sistem güncellemeleri

Aşağıdaki sorunlar, Project Mainline bileşenlerine dahil edilmiştir.

Alt bileşen CVE
Medya Sağlayıcısı CVE-2023-40127
Kablosuz CVE-2023-21252

05.10.2023 güvenlik yaması düzeyindeki güvenlik açığı ayrıntıları

Aşağıdaki bölümlerde, söz konusu güvenlik önlemlerinin her biri 05.10.2023 yama düzeyine uygulanan güvenlik açıkları. Güvenlik açıkları, etkiledikleri bileşenin altında gruplandırılır. Sorunlar aşağıdaki tablolarda açıklanmıştır ve bu sorunlar arasında, güvenlik açığının türünü, önem, ve güncellenmiş AOSP sürümleri (geçerli olduğunda). Mevcut olduğunda, sorunu ele alan kamu değişikliği hata kimliği (ör. AOSP değişiklik listesi) Tek bir hatayla ilgili birden fazla değişiklik olduğunda ek referanslar bu hata kimliğini takip eden numaralara bağlanmış.

Kol bileşenleri

Bu güvenlik açıkları Arm bileşenlerini etkilemektedir. Daha fazla ayrıntıyı mevcuttur. doğrudan Arm. Bu sorunların önem derecesi, Google Haberler'de doğrudan Arm. tarafından

CVE Referanslar Önem derecesi Alt bileşen
CVE-2021-44828 A-296461583 * Yüksek Mali
CVE-2022-28348 A-296463357 * Yüksek Mali
CVE-2023-4211 A-294605494 * Yüksek Mali
CVE-2023-33200 A-287627703 * Yüksek Mali
CVE-2023-34970 A-287624919 * Yüksek Mali

MediaTek bileşenleri

Bu güvenlik açıkları MediaTek bileşenlerini etkilemektedir. Diğer ayrıntılar ise doğrudan MediaTek'ten edinilebilir. Bu sorunların önem derecesi doğrudan MediaTek tarafından sağlanır.

CVE Referanslar Önem derecesi Alt bileşen
CVE-2023-20819 A-294779648
M-MOLY01068234 *
Yüksek CDMA PPP protokolü
CVE-2023-32819 A-294779649
M-ALPS07993705 *
Yüksek göster
CVE-2023-32820 A-294781433
M-ALPS07932637 *
Yüksek wlan donanım yazılımı

Unisoc bileşenleri

Bu güvenlik açığı Unisoc bileşenlerini etkilemektedir. Daha fazla ayrıntı aşağıda verilmiştir mevcut doğrudan Unisoc. Bu sorunun önem derecesi doğrudan Unisoc tarafından sağlanır.

CVE Referanslar Önem derecesi Alt bileşen
CVE-2023-40638 A-296491611
U-2212107*
Yüksek Android

Qualcomm bileşenleri

Bu güvenlik açıkları Qualcomm bileşenlerini etkiler ve daha ayrıntılı açıklamalar veya güvenlik uyarısında bulunan tüm ayrıntıları içerdiğinden emin olun. Bu sorunların önem derecesi doğrudan Qualcomm tarafından sağlanır.

CVE Referanslar Önem derecesi Alt bileşen
CVE-2023-33029 A-290061916
QC-CR#3446314
Yüksek Çekirdek
CVE-2023-33034 A-290060972
QC-CR#3438425
Yüksek Ses
CVE-2023-33035 A-290061247
QC-CR#3438021
Yüksek Ses

Qualcomm kapalı kaynak bileşenleri

Bu güvenlik açıkları Qualcomm kapalı kaynak bileşenlerini etkiler ve ilgili Qualcomm güvenlik bülteninde daha ayrıntılı olarak açıklanan güvenlik uyarısı. Bu sorunların önem derecesi doğrudan Qualcomm tarafından sağlanır.

CVE Referanslar Önem derecesi Alt bileşen
CVE-2023-24855 A-276750662 * Kritik Kapalı kaynak bileşeni
CVE-2023-28540 A-276751073 * Kritik Kapalı kaynak bileşeni
CVE-2023-33028 A-290060590 * Kritik Kapalı kaynak bileşeni
CVE-2023-21673 A-276750698 * Yüksek Kapalı kaynak bileşeni
CVE-2023-22385 A-276750699 * Yüksek Kapalı kaynak bileşeni
CVE-2023-24843 A-276750762 * Yüksek Kapalı kaynak bileşeni
CVE-2023-24844 A-276750872 * Yüksek Kapalı kaynak bileşeni
CVE-2023-24847 A-276751090 * Yüksek Kapalı kaynak bileşeni
CVE-2023-24848 A-276750995* Yüksek Kapalı kaynak bileşeni
CVE-2023-24849 A-276751370* Yüksek Kapalı kaynak bileşeni
CVE-2023-24850 A-276751108 * Yüksek Kapalı kaynak bileşeni
CVE-2023-24853 A-276751372 * Yüksek Kapalı kaynak bileşeni
CVE-2023-33026 A-290061996 * Yüksek Kapalı kaynak bileşeni
CVE-2023-33027 A-290061249 * Yüksek Kapalı kaynak bileşeni

06.10.2023 güvenlik yaması düzeyindeki güvenlik açığı ayrıntıları

Aşağıdaki bölümlerde, söz konusu güvenlik önlemlerinin her biri (06.10.2023 yama düzeyi için geçerli olan güvenlik açıkları) Güvenlik açıkları, etkiledikleri bileşenin altında gruplandırılır. Sorunlar aşağıdaki tablolarda açıklanmıştır ve bu sorunlar arasında, güvenlik açığının türünü, önem, ve güncellenmiş AOSP sürümleri (geçerli olduğunda). Mevcut olduğunda, sorunu ele alan kamu değişikliği hata kimliği (ör. AOSP değişiklik listesi) Tek bir hatayla ilgili birden fazla değişiklik olduğunda ek referanslar bu hata kimliğini takip eden numaralara bağlanmış.

Sistem

Bu bölümdeki güvenlik açığı, kullanıcı etkileşimi olmadan kötüye kullanıma yol açabilir.

CVE Referanslar Tür Önem derecesi Güncellenen AOSP sürümleri
CVE-2023-4863 A-299477569 RCE Kritik 11, 12, 12L, 13

Sık sorulan sorular ve cevaplar

Bu bölümde, bu bölümü okuduktan sonra aklınıza gelebilecek genel sorular yanıtlanmaktadır. bülten.

1. Cihazımın bu sorunları giderecek şekilde güncellenip güncellenmediğini nasıl anlarım? sorun yaşıyor musunuz?

Bir cihazın güvenlik yaması düzeyini nasıl kontrol edeceğinizi öğrenmek için bkz. Android sürümünüzü kontrol edin ve güncelleyin.

  • 01.10.2023 veya sonraki bir adres için güvenlik yaması düzeyleri 01.10.2023 güvenlik yaması ile ilgili tüm sorunlar seviyesidir.
  • 05.10.2023 veya sonraki bir adres için güvenlik yaması düzeyleri 05.10.2023 güvenlik yaması ile ilgili tüm sorunlar ve önceki tüm yama seviyeleri için geçerlidir.
  • 06.10.2023 veya sonraki bir adres için güvenlik yaması düzeyleri 06.10.2023 güvenlik yaması ile ilgili tüm sorunlar ve önceki tüm yama seviyeleri için geçerlidir.

Bu güncellemeleri içeren cihaz üreticileri yama dizesini ayarlamalıdır seviye:

  • [ro.build.version.security_yama]:[01.10.2023]
  • [ro.build.version.security_yama]:[05.10.2023]
  • [ro.build.version.security_yama]:[06.10.2023]

Android 10 veya sonraki sürümleri çalıştıran bazı cihazlarda Google Play sistem güncellemesi 01.10.2023 ile eşleşen bir tarih dizesi olur güvenlik yaması düzeyi. Nasıl yapacağınızla ilgili daha fazla bilgi için lütfen bu makaleyi inceleyin. yükleme güvenlik güncellemeleri.

2. Bu bültende neden üç güvenlik yaması düzeyi var?

Bu bültende Android iş ortaklarının, güvenlik açıklarının bir alt kümesini düzeltme esnekliğine sahip olur. Android cihazlar daha hızlı. Android iş ortaklarının, tüm gizliliklerini sorunları gidermeye çalışır ve en son güvenlik yaması düzeyini kullanabilirsiniz.

  • 01.10.2023 güvenlik yaması seviyesini kullanan cihazlar söz konusu güvenlik yaması düzeyiyle ilişkili tüm sorunları da içermelidir. olması önceki güvenlik bültenlerinde bildirilen tüm sorunlar için düzeltmeler.
  • 05.10.2023 güvenlik yaması düzeyini kullanan cihazlar veya daha yeni sürümler, bu (ve önceki) güvenlik kapsamında geçerli tüm yamaları içermelidir. bülten.
  • 06.10.2023 güvenlik yaması düzeyini kullanan cihazlar veya daha yeni sürümler, bu (ve önceki) güvenlik kapsamında geçerli tüm yamaları içermelidir. bülten.

İş ortaklarının, karşılaştıkları tüm sorunların çözümlerini paket halinde sunması önerilir. tek bir güncellemede ele alacağız.

3. Tür sütunundaki girişler ne anlama geliyor?

Güvenlik açığı ayrıntıları tablosunun Tür sütunundaki girişler Bu da güvenlik açığının sınıflandırmasına bakmaktır.

Kısaltma Tanım
RCE Uzaktan kod yürütme
EoP Ayrıcalık yükseltme
Kimlik Bilgilerin ifşa edilmesi
DoS Hizmet reddi
Yok Sınıflandırma yok

4. Referanslar sütunundaki girişler ne anlama geliyor?

Güvenlik açığı ayrıntılarının Referanslar sütunundaki girişler tablo, kullanıcının bağlı olduğu kuruluşu tanımlayan referans ait olması gerekir.

Ön numara Referans
A- Android hata kimliği
Kalite Kontrol Qualcomm referans numarası
A- MediaTek referans numarası
H- NVIDIA referans numarası
B- Broadcom referans numarası
U- UNISOC referans numarası

5. Referanslar'da Android hata kimliğinin yanındaki * simgesi ne anlama gelir? sütununun anlamı nedir?

Herkese açık olmayan sayılarda, ilgili yayının yanında * işareti bulunur referans kimliği. Bu sorunla ilgili güncelleme, genellikle Pixel cihazlar için ikili program sürücülerini Google Geliştirici sitesi.

6. Güvenlik açıkları neden bu bülten ile iş ortağı güvenlik bültenleri (örneğin, Pixel bültenini izleyin.

Bu güvenlik bülteninde açıklanan güvenlik açıkları Android'de en son güvenlik yaması düzeyini beyan etmek için gerekir cihazlar. cihaz / iş ortağı güvenlik bültenleri artık gerekli değildir. güvenlik yaması düzeyi tanımlama. Android cihaz ve yonga seti üreticileri kendi ürünlerine özel güvenlik açığı ayrıntılarını yayınlayabilir, örneğin: Google Huawei LGE, Motorola Nokia, veya Samsun.

Sürümler

Sürüm Tarih Notlar
1,0 2 Ekim 2023 Bülten yayınlandı