Android 安全公告 - 2023 年 12 月,Android 安全公告 - 2023 年 12 月,Android 安全公告 - 2023 年 12 月

发布于 2023 年 12 月 4 日 |更新于 2024 年 1 月 22 日

Android 安全公告包含影响 Android 设备的安全漏洞的详细信息。 2023 年 12 月 5 日或更高版本的安全补丁级别可解决所有这些问题。要了解如何检查设备的安全补丁级别,请参阅检查和更新您的 Android 版本

Android 合作伙伴至少会在发布前一个月收到有关所有问题的通知。这些问题的源代码补丁已发布到 Android 开源项目 (AOSP) 存储库,并从此公告链接。此公告还包含 AOSP 之外的补丁的链接。

其中最严重的问题是系统组件中的严重安全漏洞,该漏洞可能导致远程(近端/相邻)代码执行,而无需额外的执行权限。利用该漏洞不需要用户交互。严重性评估基于利用漏洞可能对受影响设备产生的影响,假设平台和服务缓解措施出于开发目的而关闭或成功绕过。

有关 Android安全平台保护Google Play Protect 的详细信息,请参阅 Android 和 Google Play Protect 缓解措施部分,这些保护可提高 Android 平台的安全性。

Android 和 Google 服务缓解措施

这是Android 安全平台和服务保护(例如Google Play Protect)提供的缓解措施的摘要。这些功能降低了 Android 上安全漏洞被成功利用的可能性。

  • 新版 Android 平台的增强功能使得利用 Android 上的许多问题变得更加困难。我们鼓励所有用户尽可能更新到最新版本的 Android。
  • Android 安全团队通过Google Play Protect积极监控滥用行为,并向用户发出有关潜在有害应用程序的警告。默认情况下,在具有Google 移动服务的设备上启用 Google Play Protect,这对于从 Google Play 外部安装应用程序的用户尤其重要。

2023-12-01 安全补丁级漏洞详情

在下面的部分中,我们提供了适用于 2023 年 12 月 1 日补丁级别的每个安全漏洞的详细信息。漏洞按其影响的组件进行分组。下表描述了问题,包括 CVE ID、相关参考文献、漏洞类型严重性和更新的 AOSP 版本(如果适用)。如果可用,我们会将解决问题的公共更改链接到错误 ID,例如 AOSP 更改列表。当多个更改与单个错误相关时,其他参考链接到错误 ID 后面的数字。搭载 Android 10 及更高版本的设备可能会收到安全更新以及Google Play 系统更新

框架

本节中最严重的漏洞可能会导致远程权限升级,而无需额外的执行权限。利用该漏洞不需要用户交互。

CVE参考类型严重性更新了 AOSP 版本
CVE-2023-40077 A-298057702结束时间批判的11, 12, 12L, 13, 14
CVE-2023-40076 A-303835719 ID批判的14
CVE-2023-40079 A-278722815结束时间高的14
CVE-2023-40089 A-294228721结束时间高的14
CVE-2023-40091 A-283699145结束时间高的11, 12, 12L, 13, 14
CVE-2023-40094 A-288896339结束时间高的11, 12, 12L, 13, 14
CVE-2023-40095 A-273729172结束时间高的11, 12, 12L, 13, 14
CVE-2023-40096 A-268724205 [ 2 ] [ 3 ] [ 4 ]结束时间高的11, 12, 12L, 13, 14
CVE-2023-40103 A-197260547 [ 2 ] [ 3 ]结束时间高的14
CVE-2023-45774 A-288113797结束时间高的11, 12, 12L, 13, 14
CVE-2023-45777 A-299930871 [ 2 ]结束时间高的13, 14
CVE-2023-40073 A-287640400 ID高的11, 12, 12L, 13, 14
CVE-2023-40092 A-288110451 ID高的11, 12, 12L, 13, 14
CVE-2023-40074 A-247513680拒绝服务高的11、12、12L、13
CVE-2023-40075 A-281061287拒绝服务高的11, 12, 12L, 13, 14

系统

本节中最严重的漏洞可能会导致远程(邻近/相邻)代码执行,而无需额外的执行权限。利用该漏洞不需要用户交互。

CVE参考类型严重性更新了 AOSP 版本
CVE-2023-40088 A-291500341远程代码执行批判的11, 12, 12L, 13, 14
CVE-2023-40078 A-275626001结束时间高的14
CVE-2023-40080 A-275057843结束时间高的13, 14
CVE-2023-40082 A-290909089结束时间高的14
CVE-2023-40084 A-272382770结束时间高的11, 12, 12L, 13, 14
CVE-2023-40087 A-275895309结束时间高的11, 12, 12L, 13, 14
CVE-2023-40090 A-274478807结束时间高的11, 12, 12L, 13, 14
CVE-2023-40097 A-295334906结束时间高的11、12、12L、13
CVE-2023-45773 A-275057847结束时间高的13, 14
CVE-2023-45775 A-275340684结束时间高的14
CVE-2023-45776 A-282234870结束时间高的14
CVE-2023-21394 A-296915211 ID高的11、12、12L、13
CVE-2023-35668 A-283962802 ID高的11、12、12L、13
CVE-2023-40083 A-277590580 [ 2 ] ID高的12、12L、13、14
CVE-2023-40098 A-288896269 ID高的12、12L、13、14
CVE-2023-45781 A-275553827 [ 2 ] ID高的12、12L、13、14

Google Play 系统更新

本月 Google Play 系统更新(Project Mainline)中没有解决任何安全问题。

2023-12-05 安全补丁级漏洞详情

在下面的部分中,我们提供了适用于 2023 年 12 月 05 日补丁级别的每个安全漏洞的详细信息。漏洞按其影响的组件进行分组。下表描述了问题,包括 CVE ID、相关参考文献、漏洞类型严重性和更新的 AOSP 版本(如果适用)。如果可用,我们会将解决问题的公共更改链接到错误 ID,例如 AOSP 更改列表。当多个更改与单个错误相关时,其他参考链接到错误 ID 后面的数字。

系统

此部分中的漏洞可能会导致远程(近端/相邻)权限升级,而无需额外的执行权限。利用该漏洞不需要用户交互。

CVE参考类型严重性更新了 AOSP 版本
CVE-2023-45866 A-294854926 [ 2 ] [ 3 ] [ 4 ] [ 5 ]结束时间批判的11, 12, 12L, 13, 14

手臂组件

这些漏洞影响 Arm 组件,可直接从 Arm 获取更多详细信息。这些问题的严重性评估由 Arm 直接提供。

CVE参考严重性子组件
CVE-2023-3889
A-295942985 *高的马里
CVE-2023-4272
A-296910715 *高的马里
CVE-2023-32804
A-272772567 *高的马里

想象力科技

这些漏洞影响 Imagination Technologies 组件,更多详细信息可直接从 Imagination Technologies 获取。这些问题的严重性评估由 Imagination Technologies 直接提供。

CVE参考严重性子组件
CVE-2023-21162
A-292004168 *高的PowerVR-GPU
CVE-2023-21163
A-292003338 *高的PowerVR-GPU
CVE-2023-21164
A-292002918 *高的PowerVR-GPU
CVE-2023-21166
A-292002163 *高的PowerVR-GPU
CVE-2023-21215
A-291982610 *高的PowerVR-GPU
CVE-2023-21216
A-291999952 *高的PowerVR-GPU
CVE-2023-21217
A-292087506 *高的PowerVR-GPU
CVE-2023-21218
A-292000190 *高的PowerVR-GPU
CVE-2023-21228
A-291999439 *高的PowerVR-GPU
CVE-2023-21263
A-305095406 *高的PowerVR-GPU
CVE-2023-21401
A-305091236 *高的PowerVR-GPU
CVE-2023-21402
A-305093885 *高的PowerVR-GPU
CVE-2023-21403
A-305096969 *高的PowerVR-GPU
CVE-2023-35690
A-305095935 *高的PowerVR-GPU
CVE-2023-21227
A-291998937 *高的PowerVR-GPU

联发科技组件

这些漏洞影响 MediaTek 组件,可直接从 MediaTek 获取更多详细信息。这些问题的严重性评估由联发科直接提供。

CVE参考严重性子组件
CVE-2023-32818
A-294770901
M-ALPS08013430, M-ALPS08163896 *
高的视频解码器
CVE-2023-32847
A-302982512
M-ALPS08241940 *
高的声音的
CVE-2023-32848
A-302982513
M-ALPS08163896 *
高的视频解码器
CVE-2023-32850
A-302983201
M-ALPS08016659 *
高的解码器
CVE-2023-32851
A-302986375
M-ALPS08016652 *
高的解码器

杂项代工

此漏洞影响 Misc OEM 组件,可直接从 Misc OEM 获取更多详细信息。此问题的严重性评估由 Misc OEM 直接提供。

CVE参考严重性子组件
CVE-2023-45779
A-301094654 *高的系统界面

紫光展锐组件

这些漏洞影响 Unisoc 组件,可直接从 Unisoc 获取更多详细信息。这些问题的严重性评估由紫光展锐直接提供。

CVE参考严重性子组件
CVE-2022-48456
A-300376910
U-1914157 *
高的核心
CVE-2022-48461
A-300368868
U-1905646 *
高的核心
CVE-2022-48454
A-300382178
U-2220123 *
高的安卓
CVE-2022-48455
A-300385151
U-2220123 *
高的安卓
CVE-2022-48457
A-300368872
U-2161952 *
高的安卓
CVE-2022-48458
A-300368874
U-2161952 *
高的安卓
CVE-2022-48459
A-300368875
U-2161952 *
高的安卓

高通组件

这些漏洞影响 Qualcomm 组件,并在相应的 Qualcomm 安全公告或安全警报中进行了更详细的描述。这些问题的严重性评估由高通直接提供。

CVE参考严重性子组件
CVE-2023-28588
A-285902729
QC-CR#3417458
高的蓝牙
CVE-2023-33053
A-299146326
QC-CR#3453941
高的核心
CVE-2023-33063
A-266568298
QC-CR#3447219 [ 2 ]
高的核心
CVE-2023-33079
A-299146464
QC-CR#3446191
高的声音的
CVE-2023-33087
A-299146536
QC-CR#3508356 [ 2 ]
高的核心
CVE-2023-33092
A-299146537
QC-CR#3507292
高的蓝牙
CVE-2023-33106
A-300941008
QC-CR#3612841
高的展示
CVE-2023-33107
A-299649795
QC-CR#3611296
高的展示

高通闭源组件

这些漏洞影响 Qualcomm 闭源组件,并在相应的 Qualcomm 安全公告或安全警报中进行了更详细的描述。这些问题的严重性评估由高通直接提供。

CVE参考严重性子组件
CVE-2022-40507
A-261468680 *批判的闭源组件
CVE-2022-22076
A-261469325 *高的闭源组件
CVE-2023-21652
A-268059928 *高的闭源组件
CVE-2023-21662
A-271879599 *高的闭源组件
CVE-2023-21664
A-271879160 *高的闭源组件
CVE-2023-28546
A-285902568 *高的闭源组件
CVE-2023-28550
A-280341535 *高的闭源组件
CVE-2023-28551
A-280341572 *高的闭源组件
CVE-2023-28585
A-285902652 *高的闭源组件
CVE-2023-28586
A-285903022 *高的闭源组件
CVE-2023-28587
A-285903202 *高的闭源组件
CVE-2023-33017
A-285902412 *高的闭源组件
CVE-2023-33018
A-285902728 *高的闭源组件
CVE-2023-33022
A-285903201 *高的闭源组件
CVE-2023-33054
A-295020170 *高的闭源组件
CVE-2023-33080
A-299147105 *高的闭源组件
CVE-2023-33081
A-299145668 *高的闭源组件
CVE-2023-33088
A-299146964 *高的闭源组件
CVE-2023-33089
A-299146027 *高的闭源组件
CVE-2023-33097
A-299147106 *高的闭源组件
CVE-2023-33098
A-299146466 *高的闭源组件

常见问题及解答

本节回答阅读本公告后可能出现的常见问题。

1. 如何确定我的设备是否已更新以解决这些问题?

要了解如何检查设备的安全补丁级别,请参阅检查和更新您的 Android 版本

  • 2023-12-01 或更高版本的安全补丁程序级别可解决与 2023-12-01 安全补丁程序级别相关的所有问题。
  • 2023-12-05 或更高版本的安全补丁级别解决了与 2023-12-05 安全补丁级别和所有先前补丁级别相关​​的所有问题。

包含这些更新的设备制造商应将补丁字符串级别设置为:

  • [ro.build.version.security_patch]:[2023-12-01]
  • [ro.build.version.security_patch]:[2023-12-05]

对于某些运行 Android 10 或更高版本的设备,Google Play 系统更新将具有与 2023-12-01 安全补丁级别匹配的日期字符串。有关如何安装安全更新的更多详细信息,请参阅本文

2. 为什么本公告有两个安全补丁级别?

此公告有两个安全补丁级别,以便 Android 合作伙伴能够灵活地更快地修复所有 Android 设备上相似的漏洞子集。我们鼓励 Android 合作伙伴修复本公告中的所有问题并使用最新的安全补丁级别。

  • 使用 2023-12-01 安全补丁级别的设备必须包含与该安全补丁级别相关​​的所有问题,以及之前安全公告中报告的所有问题的修复。
  • 使用 2023 年 12 月 5 日或更高版本安全补丁程序级别的设备必须包含本安全公告(以及之前的)安全公告中的所有适用补丁程序。

我们鼓励合作伙伴将他们正在解决的所有问题的修复程序捆绑在一次更新中。

3.类型栏中的条目是什么意思?

漏洞详细信息表的“类型”列中的条目引用安全漏洞的分类。

缩写定义
远程代码执行远程代码执行
结束时间特权提升
ID信息披露
拒绝服务拒绝服务
不适用分类不可用

4.参考文献栏中的条目是什么意思?

漏洞详细信息表的引用列下的条目可能包含标识引用值所属组织的前缀。

字首参考
A-安卓错误 ID
QC-高通参考号
M-联发科参考号
N- NVIDIA 参考号
B-博通参考号
U-紫光展锐参考号

5.参考资料栏中 Android bug ID 旁边的 * 是什么意思?

未公开发布的问题在相应的参考 ID 旁边有一个 *。该问题的更新通常包含在Google 开发者网站上提供的 Pixel 设备的最新二进制驱动程序中。

6. 为什么安全漏洞会分为本公告和设备/合作伙伴安全公告(例如 Pixel 公告)?

本安全公告中记录的安全漏洞需要在 Android 设备上声明最新的安全补丁级别。声明安全补丁级别不需要设备/合作伙伴安全公告中记录的其他安全漏洞。 Android 设备和芯片组制造商还可能发布特定于其产品的安全漏洞详细信息,例如Google华为LGE摩托罗拉诺基亚三星

版本

版本日期笔记
1.0 2023 年 12 月 4 日公告发布
1.1 2023 年 12 月 6 日公告已修订以包含 AOSP 链接
1.1 2024 年 1 月 22 日修订后的 CVE 表