Android-Sicherheitsbulletin – Oktober 2023

Veröffentlicht am 2. Oktober 2023 | Aktualisiert: 26. Juli 2024

Das Android-Sicherheitsbulletin enthält Details zu Sicherheitslücken. die Android-Geräte betreffen. Stand der Sicherheits-Patches von 2023-10-06 oder später. Informationen zum Prüfen des Sicherheitspatch-Levels eines Geräts finden Sie unter Android-Version prüfen und aktualisieren

Android-Partner werden mindestens einen Monat im Voraus über alle Probleme informiert Veröffentlichung. Quellcode-Patches für diese Probleme wurden für die Android Open Quellprojekt-Repository (AOSP) und über dieses Bulletin verlinkt. Dieses Bulletin enthält auch Links zu Patches außerhalb von AOSP.

Die Bewertung des Schweregrads basiert auf der Auswirkung, die möglicherweise auf einem betroffenen Gerät ausgenutzt werden, Unter der Annahme, dass die Maßnahmen zur Risikominderung für Plattform und Dienste für die Entwicklung deaktiviert sind oder wenn sie erfolgreich umgangen werden.

Weitere Informationen finden Sie im Artikel Android und Google Play Protect finden Sie im Abschnitt zu den Risikominderungen Android-Sicherheitsplattform und Google Play Protect, die die Sicherheit des Android-Plattform.

Android und Google-Dienste Abwehrmaßnahmen

Dies ist eine Zusammenfassung der Maßnahmen, Android-Sicherheitsplattform und Dienstschutzmaßnahmen wie Google Play Nest Protect. Diese Funktionen verringern die Wahrscheinlichkeit, können Sicherheitslücken unter Android ausgenutzt werden.

  • Die Ausnutzung vieler Probleme unter Android wird erschwert, Verbesserungen in neueren Versionen der Android-Plattform. Wir empfehlen allen Nutzer*innen , um nach Möglichkeit auf die neueste Android-Version zu aktualisieren.
  • Das Android-Sicherheitsteam überwacht aktiv Google Play Google Protect und warnt Nutzer vor Potenziell Schädliche Apps. Google Play Protect ist standardmäßig aktiviert auf Geräte mit Google Mobil -Dienste. Dies ist besonders wichtig für Nutzer, die Apps über außerhalb von Google Play.

01.10.2023 Details zu Sicherheitslücken auf Sicherheitspatch-Ebene

In den folgenden Abschnitten finden Sie Details zu den einzelnen Sicherheitsfunktionen Sicherheitslücken beim Patchlevel vom 01.10.2023. Sicherheitslücken werden unter der jeweiligen Komponente gruppiert. Probleme sind in den folgenden Tabellen beschrieben und umfassen die CVE-ID, die zugehörigen Referenzen, Art der Sicherheitslücke severity und aktualisierte AOSP-Versionen (falls zutreffend). Sofern verfügbar, verknüpfen wir die öffentliche Änderung, die das Problem gelöst hat, mit dem Bug-ID wie die AOSP-Änderungsliste. Wenn sich mehrere Änderungen auf einen einzelnen Fehler beziehen, werden zusätzliche Referenzen die mit Nummern verknüpft sind, die auf die Fehler-ID folgen. Geräte mit Android 10 und höher erhalten möglicherweise Sicherheitsupdates Google Play-Systemupdates

Framework

Die schwerste Schwachstelle in diesem Bereich könnte Eskalierung von ohne zusätzliche Ausführungsberechtigungen.

CVE Referenzen Typ Wichtigkeit Aktualisierte AOSP-Versionen
CVE-2023-40116 A 270368476 [2] EOP Hoch 11, 12, 12L
CVE-2023-40120 A 274775190 EOP Hoch 11, 12, 12L, 13
CVE-2023-40131 A 282919145 EOP Hoch 12, 12L, 13
CVE-2023-40140 A 274058082 EOP Hoch 11, 12, 12L, 13
CVE-2023-21291 A 277593270 ID Hoch 11, 12, 12L, 13
CVE-2023-40121 A 224771621 ID Hoch 11, 12, 12L, 13
CVE-2023-40134 A 283101289 ID Hoch 12, 12L, 13
CVE-2023-40136 A 281666022 ID Hoch 11, 12, 12L, 13
CVE-2023-40137 A 281665050 ID Hoch 11, 12, 12L, 13
CVE-2023-40138 A 281534749 ID Hoch 11, 12, 12L, 13
CVE-2023-40139 A 281533566 ID Hoch 11, 12, 12L, 13

System

Die größte Schwachstelle in diesem Bereich könnte zu Remote- Codeausführung (proximal/neben) ohne zusätzliche Ausführungsberechtigungen erforderlich.

CVE Referenzen Typ Wichtigkeit Aktualisierte AOSP-Versionen
CVE-2023-40129 A 273874525 RCE Kritisch 12, 12L, 13
CVE-2023-21244 A 276729064 [2] [3] EOP Hoch 11, 12, 12L, 13
CVE-2023-40117 A 253043065 [2] EOP Hoch 11, 12, 12L, 13
CVE-2023-40125 A 279902472 EOP Hoch 11, 12, 12L, 13
CVE-2023-40128 A 274231102 EOP Hoch 11, 12, 12L, 13
CVE-2023-40130 A 289809991 EOP Hoch 11, 12, 12L, 13
CVE-2023-40123 A 278246904 ID Hoch 11, 12, 12L, 13
CVE-2023-40127 A 262244882 ID Hoch 11, 12, 12L, 13
CVE-2023-40133 A 283264674 ID Hoch 11, 12, 12L, 13
CVE-2023-40135 A 281848557 ID Hoch 11, 12, 12L, 13
CVE-2023-21252 A 275339978 [2] DoS Hoch 11, 12, 12L, 13
CVE-2023-21253 A 266580022 [2] [3] DoS Hoch 11, 12, 12L, 13

Google Play-Systemupdates

Die folgenden Probleme sind in den Komponenten des Project Mainline enthalten.

Unterkomponente CVE
Medienanbieter CVE-2023-40127
WLAN CVE-2023-21252

05.10.2023 Details zu Sicherheitslücken auf Sicherheitspatch-Ebene

In den folgenden Abschnitten finden Sie Details zu den einzelnen Sicherheitsfunktionen Sicherheitslücken beim Patchlevel vom 05.10.2023. Sicherheitslücken werden unter der jeweiligen Komponente gruppiert. Probleme sind in den folgenden Tabellen beschrieben und umfassen die CVE-ID, die zugehörigen Referenzen, Art der Sicherheitslücke severity und aktualisierte AOSP-Versionen (falls zutreffend). Sofern verfügbar, verknüpfen wir die öffentliche Änderung, die das Problem gelöst hat, mit dem Bug-ID wie die AOSP-Änderungsliste. Wenn sich mehrere Änderungen auf einen einzelnen Fehler beziehen, werden zusätzliche Referenzen die mit Nummern verknüpft sind, die auf die Fehler-ID folgen.

Armkomponenten

Diese Sicherheitslücken betreffen Arm-Komponenten. Weitere Informationen sind verfügbar. direkt von ARM. Der Schweregrad dieser Probleme wird zur Verfügung gestellt. direkt von Arm.

CVE Referenzen Wichtigkeit Unterkomponente
CVE-2021-44828 A-296461583 * Hoch Mali
CVE-2022-28348 A-296463357 * Hoch Mali
CVE-2023-4211 A-294605494 * Hoch Mali
CVE-2023-33200 A-287627703 * Hoch Mali
CVE-2023-34970 A-287624919 * Hoch Mali

MediaTek-Komponenten

Diese Sicherheitslücken betreffen MediaTek-Komponenten. direkt bei MediaTek erhältlich. Die Einschätzung des Schweregrads dieser Probleme erfolgt direkt durch MediaTek.

CVE Referenzen Wichtigkeit Unterkomponente
CVE-2023-20819 A-294779648
M-MOLY01068234 *
Hoch CDMA-PPP-Protokoll
CVE-2023-32819 A-294779649
M-ALPS07993705 *
Hoch Display
CVE-2023-32820 A-294781433
M-ALPS07932637 *
Hoch WLAN-Firmware

Unisoc-Komponenten

Diese Sicherheitslücke betrifft die Komponenten von Unisoc. Weitere Details sind verfügbar direkt von Unisoc. Die Einschätzung des Schweregrads dieses Problems wird direkt von Unisoc bereitgestellt.

CVE Referenzen Wichtigkeit Unterkomponente
CVE-2023-40638 A-296491611
U-2212107*
Hoch Android

Qualcomm-Komponenten

Diese Sicherheitslücken betreffen Qualcomm-Komponenten und werden weiter unten beschrieben. im entsprechenden Qualcomm-Sicherheitsbulletin oder in der Sicherheitswarnung enthalten. Die Einschätzung des Schweregrads dieser Probleme erfolgt direkt durch Qualcomm.

CVE Referenzen Wichtigkeit Unterkomponente
CVE-2023-33029 A-290061916
QC-CR#3446314
Hoch Kernel
CVE-2023-33034 A-290060972
QC-CR#3438425
Hoch Audio
CVE-2023-33035 A-290061247
QC-CR#3438021
Hoch Audio

Closed-Source-Komponenten von Qualcomm

Diese Sicherheitslücken betreffen die Closed-Source-Komponenten von Qualcomm und sind im entsprechenden Qualcomm-Sicherheitsbulletin genauer beschrieben oder Sicherheitswarnung. Die Einschätzung des Schweregrads dieser Probleme erfolgt direkt durch Qualcomm.

CVE Referenzen Wichtigkeit Unterkomponente
CVE-2023-24855 A-276750662 * Kritisch Closed-Source-Komponente
CVE-2023-28540 A-276751073 * Kritisch Closed-Source-Komponente
CVE-2023-33028 A-290060590 * Kritisch Closed-Source-Komponente
CVE-2023-21673 A-276750698 * Hoch Closed-Source-Komponente
CVE-2023-22385 A-276750699 * Hoch Closed-Source-Komponente
CVE-2023-24843 A-276750762 * Hoch Closed-Source-Komponente
CVE-2023-24844 A-276750872 * Hoch Closed-Source-Komponente
CVE-2023-24847 A-276751090 * Hoch Closed-Source-Komponente
CVE-2023-24848 A-276750995* Hoch Closed-Source-Komponente
CVE-2023-24849 A-276751370* Hoch Closed-Source-Komponente
CVE-2023-24850 A-276751108 * Hoch Closed-Source-Komponente
CVE-2023-24853 A-276751372 * Hoch Closed-Source-Komponente
CVE-2023-33026 A-290061996 * Hoch Closed-Source-Komponente
CVE-2023-33027 A-290061249 * Hoch Closed-Source-Komponente

06.10.2023 Details zu Sicherheitslücken auf Sicherheitspatch-Ebene

In den folgenden Abschnitten finden Sie Details zu den einzelnen Sicherheitsfunktionen Sicherheitslücken beim Patchlevel vom 06.10.2023. Sicherheitslücken werden unter der jeweiligen Komponente gruppiert. Probleme sind in den folgenden Tabellen beschrieben und umfassen die CVE-ID, die zugehörigen Referenzen, Art der Sicherheitslücke severity und aktualisierte AOSP-Versionen (falls zutreffend). Sofern verfügbar, verknüpfen wir die öffentliche Änderung, die das Problem gelöst hat, mit dem Bug-ID wie die AOSP-Änderungsliste. Wenn sich mehrere Änderungen auf einen einzelnen Fehler beziehen, werden zusätzliche Referenzen die mit Nummern verknüpft sind, die auf die Programmfehler-ID folgen.

System

Die Sicherheitslücke in diesem Abschnitt könnte zu einer Sicherheitslücke ohne Interaktion des Nutzers führen.

CVE Referenzen Typ Wichtigkeit Aktualisierte AOSP-Versionen
CVE-2023-4863 A-299477569 RCE Kritisch 11, 12, 12L, 13

Häufig gestellte Fragen und Antworten

In diesem Abschnitt finden Sie Antworten auf häufig gestellte Fragen, die nach dem Lesen dieses Artikels auftreten können. .

1. Wie finde ich heraus, ob mein Gerät entsprechend aktualisiert wurde? Probleme?

Informationen zum Prüfen des Sicherheitspatch-Levels eines Geräts finden Sie unter Android-Version prüfen und aktualisieren

  • Sicherheitspatch-Levels ab 01.10.2023 alle Probleme im Zusammenhang mit dem Sicherheitspatch vom 01.10.2023
  • Sicherheitspatch-Levels ab 05.10.2023 alle Probleme im Zusammenhang mit dem Sicherheitspatch vom 05.10.2023 und alle vorherigen Patch-Levels.
  • Sicherheitspatch-Levels ab dem 06.10.2023 alle Probleme im Zusammenhang mit dem Sicherheitspatch vom 06.10.2023 und alle vorherigen Patch-Levels.

Gerätehersteller, die diese Updates verwenden, sollten den Patchstring festlegen. Ebene zu:

  • [ro.build.version.security_patch]:[01.10.2023]
  • [ro.build.version.security_patch]:[05.10.2023]
  • [ro.build.version.security_patch]:[06.10.2023]

Bei einigen Geräten mit Android 10 oder höher wird das Google Play-Systemupdate hat einen Datumsstring, der mit dem 01.10.2023 übereinstimmt. Stand der Sicherheitsupdates. Weitere Informationen findest du in diesem Artikel. Installieren Sicherheitsupdates.

2. Warum gibt es in diesem Bulletin drei Sicherheitspatch-Level?

Dieses Bulletin enthält drei Sicherheitspatch-Levels, die Flexibilität, einen Teil der Sicherheitslücken zu beheben, die in allen auf Android-Geräten. Android-Partnern sollten alle Probleme in diesem Bulletin beheben und den aktuellen Stand der Sicherheitsupdates verwenden.

  • Geräte, die den Sicherheitspatch-Level vom 01.10.2023 verwenden muss alle Probleme im Zusammenhang mit diesem Sicherheitspatch-Level sowie als Fehlerkorrekturen für alle Probleme, die in früheren Sicherheitsbulletins gemeldet wurden.
  • Geräte, die das Sicherheitspatch-Level vom 05.10.2023 verwenden oder höher muss alle anwendbaren Patches in dieser (und früheren) Sicherheitsmaßnahme enthalten Bulletins.
  • Geräte, die den Sicherheitspatch-Level vom 06.10.2023 verwenden oder höher muss alle anwendbaren Patches in dieser (und früheren) Sicherheitsmaßnahme enthalten Bulletins.

Partnern wird empfohlen, die Lösungen für alle Probleme, die sie betreffen, bündeln zu lassen. mit einem einzigen Update zu beheben.

3. Was bedeuten die Einträge in der Spalte Typ?

Einträge in der Spalte Typ der Tabelle mit den Details zu Sicherheitslücken Klassifizierung der Sicherheitslücke.

Abkürzung Definition
RCE Codeausführung per Fernzugriff
EOP Rechteausweitung
ID Offenlegung von Informationen
DoS Denial of Service
Klassifizierung nicht verfügbar

4. Was bedeuten die Einträge in der Spalte Referenzen?

Einträge in der Spalte Referenzen der Details zu Sicherheitslücken kann ein Präfix enthalten, das die Organisation angibt, für die der Referenz gehört.

Präfix Verweise
A- Android-Programmfehler-ID
Qualitätskontrolle- Qualcomm-Referenznummer
Mo– MediaTek-Referenznummer
N- NVIDIA-Referenznummer
B- Broadcom-Referenznummer
U- UNISOC-Referenznummer

5. Was bedeutet ein * neben der Android-Fehler-ID in den Referenzen? Spaltenmittelwert?

Probleme, die nicht öffentlich verfügbar sind, sind mit einem * neben dem entsprechenden Referenz-ID. Das Update für dieses Problem befindet sich in der Regel in der aktuellen binäre Treiber für Pixel-Geräte, Google Entwicklerwebsite.

6. Warum sind Sicherheitslücken zwischen diesem Bulletin und Geräte-/Partner-Sicherheitsbulletins wie die Pixel-Bulletin?

Die in diesem Sicherheitsbulletin dokumentierten Sicherheitslücken sind erforderlich, um das neueste Sicherheitspatch-Level für Android zu deklarieren Geräte. Weitere Sicherheitslücken, die in der Geräte-/Partner-Sicherheitsbulletins sind nicht erforderlich für Sicherheitspatch-Level deklarieren. Hersteller von Android-Geräten und Chipsätzen produktspezifische Details zu Sicherheitslücken veröffentlichen, zum Beispiel Google Huawei LGE Motorola Nokia, oder Samsung.

Versionen

Version Datum Hinweise
1 2. Oktober 2023 Bulletin veröffentlicht