O boletim de segurança do Android contém detalhes de vulnerabilidades de segurança que afetam dispositivos Android. Os níveis de patch de segurança de 2023-10-06 ou posterior resolverá todos esses problemas. Para aprender a verificar o nível do patch de segurança de um dispositivo, consulte Verificar e atualizar a versão do Android.
Os parceiros Android são notificados sobre todos os problemas pelo menos um mês antes publicação. Os patches de código-fonte para esses problemas foram lançados no Android Open Source Project (AOSP) e vinculado a este boletim. Este boletim também inclui links para patches fora do AOSP.
A avaliação de gravidade é baseada no efeito que explorar a vulnerabilidade poderia ter em um dispositivo afetado, supondo que as mitigações de plataforma e serviço estejam desativadas para desenvolvimento ou se forem ignorados.
Consulte a página da API Android e Google Play Protect na seção de mitigações de ameaças para ver detalhes Plataforma de segurança Android de segurança e o Google Play Protect, que aumentam a segurança Plataforma Android.
Serviço do Android e do Google mitigações
Este é um resumo das mitigações oferecidas pelo Plataforma de segurança Android e proteções de serviços, como Google Play Proteger. Esses recursos reduzem a probabilidade de que a segurança mais vulnerabilidades podem ser exploradas com sucesso no Android.
- A exploração de muitos problemas no Android se torna mais difícil ao melhorias em versões mais recentes da plataforma Android. Incentivamos todos usuários para a versão mais recente do Android sempre que possível.
- A equipe de segurança do Android monitora ativamente abusos usando Google Play Protect e avisa os usuários sobre Potencialmente Aplicativos nocivos. O Google Play Protect fica ativado por padrão dispositivos com o Google Dispositivo móvel Services e é especialmente importante para usuários que instalam aplicativos de fora do Google Play.
01/10/2023 detalhes da vulnerabilidade no nível do patch de segurança
Nas seções abaixo, fornecemos detalhes de cada um dos requisitos vulnerabilidades que se aplicam ao nível de patch de 01/10/2023. As vulnerabilidades são agrupadas de acordo com o componente que afetam. Os problemas são descritos nas tabelas abaixo e incluem o ID do CVE, associado referências, tipo de vulnerabilidade gravidade, e versões atualizadas do AOSP (quando aplicável). Quando disponível, vincularemos a alteração pública que solucionou o problema ao ID do bug, como a lista de mudanças do AOSP. Quando várias alterações estão relacionadas a um único bug, referências adicionais são vinculado a números após o ID do bug. Dispositivos com o Android 10 e versões mais recentes podem receber atualizações de segurança Google Atualizações do sistema do Google Play.
Framework
A vulnerabilidade mais grave nesta seção pode levar a problemas encaminhamento para um supervisor sem precisar de outros privilégios de execução.
| CVE | Referências | Tipo | Gravidade | Versões atualizadas do AOSP |
|---|---|---|---|---|
| CVE-2023-40116 | A-270368476 (link em inglês) [2] | Fim do dia | Alta | 11, 12 e 12L |
| CVE-2023-40120 | A-274775190 (link em inglês) | Fim do dia | Alta | 11, 12, 12L e 13 |
| CVE-2023-40131 | A-282919145 (link em inglês) | Fim do dia | Alta | 12, 12L e 13 |
| CVE-2023-40140 | A-274058082 (link em inglês) | Fim do dia | Alta | 11, 12, 12L e 13 |
| CVE-2023-21291 | A-277593270 (link em inglês) | ID | Alta | 11, 12, 12L e 13 |
| CVE-2023-40121 | A-224771621 (link em inglês) | ID | Alta | 11, 12, 12L e 13 |
| CVE-2023-40134 | A-283101289 (link em inglês) | ID | Alta | 12, 12L e 13 |
| CVE-2023-40136 | A-281666022 (link em inglês) | ID | Alta | 11, 12, 12L e 13 |
| CVE-2023-40137 | A-281665050 (link em inglês) | ID | Alta | 11, 12, 12L e 13 |
| CVE-2023-40138 | A-281534749 (link em inglês) | ID | Alta | 11, 12, 12L e 13 |
| CVE-2023-40139 | A-281533566 (link em inglês) | ID | Alta | 11, 12, 12L e 13 |
Sistema
A vulnerabilidade mais grave nesta seção pode levar a problemas Execução de código (proximal/próxima) sem privilégios de execução adicionais necessários.
| CVE | Referências | Tipo | Gravidade | Versões atualizadas do AOSP |
|---|---|---|---|---|
| CVE-2023-40129 | A-273874525 (link em inglês) | RCE | Crítico | 12, 12L e 13 |
| CVE-2023-21244 | A-276729064 (link em inglês) [2] [3] | Fim do dia | Alta | 11, 12, 12L e 13 |
| CVE-2023-40117 | A-253043065 (link em inglês) [2] | Fim do dia | Alta | 11, 12, 12L e 13 |
| CVE-2023-40125 | A-279902472 (link em inglês) | Fim do dia | Alta | 11, 12, 12L e 13 |
| CVE-2023-40128 | A-274231102 (link em inglês) | Fim do dia | Alta | 11, 12, 12L e 13 |
| CVE-2023-40130 | A-289809991 (link em inglês) | Fim do dia | Alta | 11, 12, 12L e 13 |
| CVE-2023-40123 | A-278246904 (link em inglês) | ID | Alta | 11, 12, 12L e 13 |
| CVE-2023-40127 | A-262244882 (link em inglês) | ID | Alta | 11, 12, 12L e 13 |
| CVE-2023-40133 | A-283264674 (link em inglês) | ID | Alta | 11, 12, 12L e 13 |
| CVE-2023-40135 | A-281848557 (link em inglês) | ID | Alta | 11, 12, 12L e 13 |
| CVE-2023-21252 | A-275339978 (link em inglês) [2] | DoS (DoS) | Alta | 11, 12, 12L e 13 |
| CVE-2023-21253 | A-266580022 (link em inglês) [2] [3] | DoS (DoS) | Alta | 11, 12, 12L e 13 |
Atualizações do sistema do Google Play
Os problemas a seguir estão incluídos nos componentes do Projeto Mainline.
| Subcomponente | CVE |
|---|---|
| Provedor de mídia | CVE-2023-40127 |
| Wi-Fi | CVE-2023-21252 |
05/10/2023 detalhes da vulnerabilidade no nível do patch de segurança
Nas seções abaixo, fornecemos detalhes de cada um dos requisitos vulnerabilidades que se aplicam ao nível de patch 2023-10-05. As vulnerabilidades são agrupadas de acordo com o componente que afetam. Os problemas são descritos nas tabelas abaixo e incluem o ID do CVE, associado referências, tipo de vulnerabilidade gravidade, e versões atualizadas do AOSP (quando aplicável). Quando disponível, vincularemos a alteração pública que solucionou o problema ao ID do bug, como a lista de mudanças do AOSP. Quando várias alterações estão relacionadas a um único bug, referências adicionais são vinculado a números após o ID do bug.
Componentes do grupo
Essas vulnerabilidades afetam os componentes do Arm. Mais detalhes estão disponíveis diretamente do Arm. A avaliação da gravidade desses problemas é fornecida diretamente pelo Arm.
| CVE | Referências | Gravidade | Subcomponente |
|---|---|---|---|
| CVE-2021-44828 | A-296461583 * | Alta | Mali |
| CVE-2022-28348 | A-296463357 * | Alta | Mali |
| CVE-2023-4211 | A-294605494 * | Alta | Mali |
| CVE-2023-33200 | A-287627703 * | Alta | Mali |
| CVE-2023-34970 | A-287624919 * | Alta | Mali |
Componentes do MediaTek
Essas vulnerabilidades afetam os componentes da MediaTek. Outros detalhes são disponíveis diretamente da MediaTek. A avaliação da gravidade desses problemas é fornecida diretamente pela MediaTek.
| CVE | Referências | Gravidade | Subcomponente |
|---|---|---|---|
| CVE-2023-20819 | A-294779648
M-MOLY01068234 * |
Alta | Protocolo PPP CDMA |
| CVE-2023-32819 | A-294779649
M-ALPS07993705 * |
Alta | tela |
| CVE-2023-32820 | A-294781433
M-ALPS07932637 * |
Alta | Firmware do wlan |
Componentes Unisoc
Essa vulnerabilidade afeta componentes Unisoc e outros detalhes disponível diretamente do Unisoc. A avaliação de gravidade desse problema é fornecida diretamente pelo Unisoc.
| CVE | Referências | Gravidade | Subcomponente |
|---|---|---|---|
| CVE-2023-40638 | A-296491611
U-2212107* |
Alta | Android |
Componentes da Qualcomm
Essas vulnerabilidades afetam os componentes da Qualcomm e estão descritas em mais no boletim ou alerta de segurança da Qualcomm. A avaliação da gravidade desses problemas é fornecida diretamente pela Qualcomm.
| CVE | Referências | Gravidade | Subcomponente |
|---|---|---|---|
| CVE-2023-33029 | A-290061916
QC-CR#3446314 |
Alta | Kernel |
| CVE-2023-33034 | A-290060972
QC-CR#3438425 |
Alta | Áudio |
| CVE-2023-33035 | A-290061247
QC-CR#3438021 |
Alta | Áudio |
Componentes de código fechado da Qualcomm
Essas vulnerabilidades afetam componentes de código fechado da Qualcomm e descritos em mais detalhes no boletim de segurança da Qualcomm ou alerta de segurança. A avaliação da gravidade desses problemas é fornecida diretamente pela Qualcomm.
| CVE | Referências | Gravidade | Subcomponente |
|---|---|---|---|
| CVE-2023-24855 | A-276750662 * | Crítico | Componente de código fechado |
| CVE-2023-28540 (em inglês) | A-276751073 * | Crítico | Componente de código fechado |
| CVE-2023-33028 | A-290060590 * | Crítico | Componente de código fechado |
| CVE-2023-21673 | A-276750698 * | Alta | Componente de código fechado |
| CVE-2023-22385 | A-276750699 * | Alta | Componente de código fechado |
| CVE-2023-24843 | A-276750762 * | Alta | Componente de código fechado |
| CVE-2023-24844 | A-276750872 * | Alta | Componente de código fechado |
| CVE-2023-24847 | A-276751090 * | Alta | Componente de código fechado |
| CVE-2023-24848 | A-276750995* | Alta | Componente de código fechado |
| CVE-2023-24849 | A-276751370* | Alta | Componente de código fechado |
| CVE-2023-24850 | A-276751108 * | Alta | Componente de código fechado |
| CVE-2023-24853 | A-276751372 * | Alta | Componente de código fechado |
| CVE-2023-33026 | A-290061996 * | Alta | Componente de código fechado |
| CVE-2023-33027 | A-290061249 * | Alta | Componente de código fechado |
06/10/2023 detalhes da vulnerabilidade no nível do patch de segurança
Nas seções abaixo, fornecemos detalhes de cada um dos requisitos vulnerabilidades que se aplicam ao nível de patch 2023-10-06. As vulnerabilidades são agrupadas de acordo com o componente que afetam. Os problemas são descritos nas tabelas abaixo e incluem o ID do CVE, associado referências, tipo de vulnerabilidade gravidade, e versões atualizadas do AOSP (quando aplicável). Quando disponível, vincularemos a alteração pública que solucionou o problema ao ID do bug, como a lista de mudanças do AOSP. Quando várias alterações estão relacionadas a um único bug, referências adicionais são vinculado a números após o ID do bug.
Sistema
A vulnerabilidade nesta seção pode levar à exploração sem interação do usuário.
| CVE | Referências | Tipo | Gravidade | Versões atualizadas do AOSP |
|---|---|---|---|---|
| CVE-2023-4863 | A-299477569 | RCE | Crítico | 11, 12, 12L e 13 |
Perguntas e respostas comuns
Esta seção responde a dúvidas comuns que podem surgir boletim informativo.
1. Como determino se meu dispositivo está atualizado para resolver esses problemas problemas?
Para aprender a verificar o nível do patch de segurança de um dispositivo, consulte Verificar e atualizar a versão do Android.
- Endereço dos níveis de patch de segurança de 01/10/2023 ou mais recente todos os problemas associados ao patch de segurança de 01/10/2023 nível
- Endereço dos níveis de patch de segurança de 05/10/2023 ou mais recente todos os problemas associados ao patch de segurança de 05/10/2023 e todos os níveis de patch anteriores.
- Endereço dos níveis de patch de segurança de 06/10/2023 ou mais recente todos os problemas associados ao patch de segurança de 06/10/2023 e todos os níveis de patch anteriores.
Os fabricantes de dispositivos que incluem essas atualizações precisam definir a string de patch nível para:
- [ro.build.version.security_patch]:[2023-10-01]
- [ro.build.version.security_patch]:[2023-10-05]
- [ro.build.version.security_patch]:[2023-10-06]
Em alguns dispositivos com o Android 10 ou versões mais recentes, a atualização do sistema do Google Play terá uma string de data que corresponde ao formato 2023-10-01 nível do patch de segurança. Consulte este artigo para mais detalhes sobre como instalar e atualizações de segurança.
2. Por que este boletim tem três níveis de patch de segurança?
Este boletim tem três níveis de patch de segurança para que os parceiros Android tenham a flexibilidade de corrigir um subconjunto de vulnerabilidades semelhantes Dispositivos Android mais rapidamente. Recomendamos que os parceiros do Android corrijam problemas neste boletim e use o nível mais recente do patch de segurança.
- Dispositivos que usam o nível do patch de segurança de 01/10/2023 precisa incluir todos os problemas associados ao nível do patch de segurança, além de quando e correções de todos os problemas relatados em boletins de segurança anteriores.
- Dispositivos que usam o nível do patch de segurança de 05/10/2023 ou mais recentes devem incluir todos os patches aplicáveis nesta segurança (e nas anteriores) boletins informativos.
- Dispositivos que usam o nível do patch de segurança de 06/10/2023 ou mais recentes devem incluir todos os patches aplicáveis nesta segurança (e nas anteriores) boletins informativos.
Incentivamos os parceiros a agrupar as correções de todos os problemas encontrados. em uma única atualização.
3. O que significam as entradas na coluna Tipo?
Entradas na coluna Tipo da tabela de detalhes da vulnerabilidade consultar a classificação da vulnerabilidade de segurança.
| Abreviatura | Definição |
|---|---|
| RCE | Execução remota de código |
| Fim do dia | Elevação do privilégio |
| ID | Divulgação de informações |
| DoS (DoS) | Negação de serviço |
| N/A | Classificação indisponível |
4. O que significam as entradas na coluna References?
Entradas na coluna Referências dos detalhes da vulnerabilidade pode conter um prefixo que identifica a organização para a qual Referência pertence.
| Prefixo | Referência |
|---|---|
| A- | ID do bug do Android |
| Controle de qualidade | Número de referência da Qualcomm |
| M- | Número de referência da MediaTek |
| N | Número de referência da NVIDIA |
| B- | Número de referência Broadcom |
| de | Número de referência do UNISOC |
5. O que faz um * ao lado do ID do bug do Android nas Referências? média da coluna?
Os problemas que não estiverem disponíveis publicamente terão um * ao lado do nome da ID de referência. A atualização desse problema geralmente está contida na versão drivers binários para dispositivos Pixel disponíveis no Google Site para desenvolvedores.
6. Por que as vulnerabilidades de segurança estão divididas entre este boletim e de parceiros / dispositivos móveis, como Boletim do Pixel?
As vulnerabilidades de segurança documentadas neste boletim de segurança são obrigatório declarar o nível mais recente do patch de segurança no Android dispositivos. Vulnerabilidades de segurança adicionais que são documentadas na os boletins de segurança de parceiros / dispositivos declarar um nível de patch de segurança. Fabricantes de dispositivos Android e chipsset publicar detalhes de vulnerabilidade de segurança específicos dos produtos, como Google, Huawei, LGE, Motorola, Nokia, ou Samsung.
Versões
| Versão | Data | Observações |
|---|---|---|
| 1.0 | 2 de outubro de 2023 | Boletim publicado |