הערות הגרסה האלה בנושא אבטחה ב-Android כוללות פרטים על נקודות חולשה באבטחה שמשפיעות על מכשירי Android, ועל התיקונים שבוצעו במסגרת Android 13. מכשירים עם Android 13 ורמת תיקון אבטחה מ-2022-09-01 ואילך מוגנים מפני הבעיות האלה (ב-Android 13, כפי שפורסם ב-AOSP, רמת תיקון האבטחה שמוגדרת כברירת מחדל היא 2022-09-01). במאמר איך בודקים ומעדכנים את גרסת Android מוסבר איך בודקים את רמת תיקון האבטחה במכשיר.
שותפים ב-Android מקבלים התראה על כל הבעיות לפני הפרסום. תיקוני קוד המקור לבעיות האלה יפורסמו במאגר של פרויקט הקוד הפתוח של Android (AOSP) כחלק מההשקה של Android 13.
הערכת חומרת הבעיות בהערות הגרסה האלה מבוססת על ההשפעה שעלולה להיות לניצול הפגיעות במכשיר מושפע, בהנחה שהפלטפורמה והשירותים להפחתת הסיכון מושבתים למטרות פיתוח או אם נעקפו בהצלחה.
לא קיבלנו דיווחים על ניצול פעיל של לקוחות או על שימוש לרעה בבעיות החדשות שדווחו. בקטע אמצעי ההגנה של Android ו-Google Play Protect מפורטים אמצעי ההגנה של פלטפורמת האבטחה של Android ושל Google Play Protect, שמשפרים את האבטחה של פלטפורמת Android.
הודעות
- הבעיות שמתוארות במסמך הזה נפתרו ב-Android 13. המידע הזה מסופק למטרות עיון ושקיפות.
- אנחנו רוצים להודות לקהילת מחקר האבטחה על התרומה המתמשכת שלה לאבטחת המערכת האקולוגית של Android.
אמצעי הגנה בשירותי Google וב-Android
זהו סיכום של אמצעי ההגנה שמוצעים על ידי פלטפורמת האבטחה של Android והגנות השירותים, כמו Google Play Protect. היכולות האלה מצמצמות את הסיכוי שנקודות חולשה באבטחה ינוצלו לרעה ב-Android.
- השיפורים בגרסאות חדשות יותר של פלטפורמת Android מקשים על ניצול של הרבה בעיות ב-Android. מומלץ לכל המשתמשים לעדכן לגרסה האחרונה של Android, אם אפשר.
- צוות האבטחה של Android עוקב באופן פעיל אחרי התנהלות פוגעת באמצעות Google Play Protect ומזהיר משתמשים מפני אפליקציות שעלולות להזיק. Google Play Protect מופעל כברירת מחדל במכשירים עם שירותי Google לנייד, והוא חשוב במיוחד למשתמשים שמתקינים אפליקציות ממקורות אחרים ולא מחנות Google Play.
פרטי נקודות החולשה ב-Android 13
בקטעים הבאים מפורטות פגיעויות האבטחה שתוקנו במסגרת Android 13. נקודות החולשה מקובצות לפי הרכיב שהן משפיעות עליו, וכוללות פרטים כמו ה-CVE, הפניות המשויכות, סוג נקודת החולשה וחומרת הבעיה.
סביבת זמן ריצה ל-Android (ART)
| CVE | קובצי עזר | סוג | מידת החומרה |
|---|---|---|---|
| CVE-2013-0340 | A-24901276 | DoS | בינונית |
Framework
| CVE | קובצי עזר | סוג | מידת החומרה |
|---|---|---|---|
| CVE-2022-20266 | A-211757348 | EoP | גבוהה |
| CVE-2022-20301 | A-200956614 | EoP | גבוהה |
| CVE-2022-20305 | A-199751623 | EoP | גבוהה |
| CVE-2022-20443 | A-194480991 | EoP | גבוהה |
| CVE-2022-20270 | A-209005023 | מזהה | גבוהה |
| CVE-2022-20294 | A-202160705 | מזהה | גבוהה |
| CVE-2022-20295 | A-202160584 | מזהה | גבוהה |
| CVE-2022-20296 | A-201794303 | מזהה | גבוהה |
| CVE-2022-20298 | A-201416182 | מזהה | גבוהה |
| CVE-2022-20299 | A-201415895 | מזהה | גבוהה |
| CVE-2022-20300 | A-200956588 | מזהה | גבוהה |
| CVE-2022-20303 | A-200573021 | מזהה | גבוהה |
| CVE-2022-20304 | A-199751919 | מזהה | גבוהה |
| CVE-2022-20260 | A-220865698 | DoS | גבוהה |
| CVE-2022-20246 | A-230493191 | EoP | בינונית |
| CVE-2022-20250 | A-226134095 | EoP | בינונית |
| CVE-2022-20255 | A-222687217 | EoP | בינונית |
| CVE-2022-20268 | A-210468836 | EoP | בינונית |
| CVE-2022-20271 | A-207672635 | EoP | בינונית |
| CVE-2022-20278 | A-205130113 | EoP | בינונית |
| CVE-2022-20281 | A-204083967 | EoP | בינונית |
| CVE-2022-20282 | A-204083104 | EoP | בינונית |
| CVE-2022-20312 | A-192244925 | EoP | בינונית |
| CVE-2022-20331 | A-181785557 | EoP | בינונית |
| CVE-2021-0734 | A-189122911 | מזהה | בינונית |
| CVE-2021-0735 | A-188913056 | מזהה | בינונית |
| CVE-2021-0975 | A-180104273 | מזהה | בינונית |
| CVE-2022-20243 | A-190199986 | מזהה | בינונית |
| CVE-2022-20249 | A-226900861 | מזהה | בינונית |
| CVE-2022-20252 | A-224547584 | מזהה | בינונית |
| CVE-2022-20262 | A-218338453 | מזהה | בינונית |
| CVE-2022-20263 | A-217935264 | מזהה | בינונית |
| CVE-2022-20272 | A-207672568 | מזהה | בינונית |
| CVE-2022-20275 | A-205836975 | מזהה | בינונית |
| CVE-2022-20276 | A-205706731 | מזהה | בינונית |
| CVE-2022-20277 | A-205145497 | מזהה | בינונית |
| CVE-2022-20279 | A-204877302 | מזהה | בינונית |
| CVE-2022-20285 | A-230868108 | מזהה | בינונית |
| CVE-2022-20287 | A-204082784 | מזהה | בינונית |
| CVE-2022-20288 | A-204082360 | מזהה | בינונית |
| CVE-2022-20289 | A-203683960 | מזהה | בינונית |
| CVE-2022-20291 | A-203430648 | מזהה | בינונית |
| CVE-2022-20293 | A-202298672 | מזהה | בינונית |
| CVE-2022-20307 | A-198782887 | מזהה | בינונית |
| CVE-2022-20309 | A-194694094 | מזהה | בינונית |
| CVE-2022-20315 | A-191058227 | מזהה | בינונית |
| CVE-2022-20316 | A-190726121 | מזהה | בינונית |
| CVE-2022-20318 | A-194694069 | מזהה | בינונית |
| CVE-2022-20320 | A-187956596 | מזהה | בינונית |
| CVE-2022-20324 | A-187042120 | מזהה | בינונית |
| CVE-2022-20328 | A-184948501 | מזהה | בינונית |
| CVE-2022-20332 | A-180019130 | מזהה | בינונית |
| CVE-2022-20336 | A-177239688 | מזהה | בינונית |
| CVE-2022-20341 | A-162952629 | מזהה | בינונית |
| CVE-2022-20322 | A-187176993 | מזהה | נמוכה |
| CVE-2022-20323 | A-187176203 | מזהה | נמוכה |
Media Framework
| CVE | קובצי עזר | סוג | מידת החומרה |
|---|---|---|---|
| CVE-2022-20290 | A-203549963 | EoP | בינונית |
| CVE-2022-20325 | A-186473060 | EoP | בינונית |
| CVE-2022-20247 | A-229858836 | מזהה | בינונית |
| CVE-2022-20317 | A-190199063 | מזהה | בינונית |
חבילה
| CVE | קובצי עזר | סוג | מידת החומרה |
|---|---|---|---|
| CVE-2022-20319 | A-189574230 | EoP | בינונית |
פלטפורמה
| CVE | קובצי עזר | סוג | מידת החומרה |
|---|---|---|---|
| CVE-2022-20302 | A-200746457 | EoP | בינונית |
| CVE-2022-20321 | A-187176859 | מזהה | בינונית |
פלטפורמה
| CVE | קובצי עזר | סוג | מידת החומרה |
|---|---|---|---|
| CVE-2022-20265 | A-212804898 | EoP | בינונית |
מערכת
| CVE | קובצי עזר | סוג | מידת החומרה |
|---|---|---|---|
| CVE-2022-20283 | A-233069336 | RCE | קריטית |
| CVE-2022-20362 | A-230756082 | RCE | קריטית |
| CVE-2022-20292 | A-202975040 | EoP | גבוהה |
| CVE-2022-20297 | A-201561699 | EoP | גבוהה |
| CVE-2022-20330 | A-181962588 | EoP | גבוהה |
| CVE-2021-0518 | A-176541017 | מזהה | גבוהה |
| CVE-2022-20245 | A-215005011 | מזהה | גבוהה |
| CVE-2022-20259 | A-221431393 | מזהה | גבוהה |
| CVE-2022-20284 | A-231986341 | מזהה | גבוהה |
| CVE-2022-20326 | A-185235527 | מזהה | גבוהה |
| CVE-2022-20327 | A-185126813 | מזהה | גבוהה |
| CVE-2022-20339 | A-171572148 | מזהה | גבוהה |
| CVE-2022-20244 | A-201083240 | EoP | בינונית |
| CVE-2022-20248 | A-227619193 | EoP | בינונית |
| CVE-2022-20254 | A-223377547 | EoP | בינונית |
| CVE-2022-20256 | A-222572821 | EoP | בינונית |
| CVE-2022-20257 | A-222289114 | EoP | בינונית |
| CVE-2022-20258 | A-221893030 | EoP | בינונית |
| CVE-2022-20267 | A-211646835 | EoP | בינונית |
| CVE-2022-20269 | A-209062898 | EoP | בינונית |
| CVE-2022-20274 | A-206470146 | EoP | בינונית |
| CVE-2022-20286 | A-230866011 | EoP | בינונית |
| CVE-2022-20306 | A-199680794 | EoP | בינונית |
| CVE-2022-20313 | A-192206329 | EoP | בינונית |
| CVE-2022-20314 | A-191876118 | EoP | בינונית |
| CVE-2022-20329 | A-183410556 | EoP | בינונית |
| CVE-2022-20335 | A-178014725 | EoP | בינונית |
| CVE-2022-20241 | A-217185011 | מזהה | בינונית |
| CVE-2022-20242 | A-231986212 | מזהה | בינונית |
| CVE-2022-20251 | A-225881167 | מזהה | בינונית |
| CVE-2022-20261 | A-219835125 | מזהה | בינונית |
| CVE-2022-20273 | A-206478022 | מזהה | בינונית |
| CVE-2022-20280 | A-204117261 | מזהה | בינונית |
| CVE-2022-20310 | A-192663798 | מזהה | בינונית |
| CVE-2022-20311 | A-192663553 | מזהה | בינונית |
| CVE-2022-20340 | A-166269532 | מזהה | בינונית |
| CVE-2022-20342 | A-143534321 | מזהה | בינונית |
| CVE-2022-20253 | A-224545125 | DoS | בינונית |
| CVE-2022-20308 | A-197874458 | DoS | בינונית |
| CVE-2022-20333 | A-179161657 | DoS | בינונית |
| CVE-2022-20334 | A-178800552 | DoS | בינונית |
תשובות לשאלות נפוצות
בקטע הזה תמצאו תשובות לשאלות נפוצות שיכולות לעלות אחרי קריאת הפרטים של העדכון הזה.
1. איך אפשר לבדוק אם המכשיר שלי קיבל את העדכון שפותר את הבעיות האלה?
במאמר איך בודקים ומעדכנים את גרסת Android מוסבר איך בודקים את רמת תיקון האבטחה במכשיר.
רמת תיקון האבטחה שמוגדרת כברירת מחדל ב-Android 13, כפי שהיא מופיעה ב-AOSP, היא 2022-09-01. במכשירי Android עם Android 13 ועם תיקון אבטחה ברמה 2022-09-01 ואילך, כל הבעיות שמופיעות בהערות האלה על עדכוני אבטחה נפתרות.
2. מה המשמעות של הערכים בעמודה סוג?
הערכים בעמודה סוג בטבלת הפרטים של נקודות החולשה מתייחסים לסיווג שלהן.
| קיצור | ההגדרה |
|---|---|
| RCE | הרצת קוד מרחוק |
| EoP | רמת הרשאה גבוהה יותר |
| ID | חשיפת מידע |
| DoS | התקפת מניעת שירות |
| N/A | אין סיווג |
3. מה המשמעות של הערכים בעמודה הפניות למקורות חיצוניים?
מידע על הערכים בעמודה הפניות למקורות חיצוניים בטבלה של פרטי נקודות החולשה: יש מקרים שבהם יש לערך תחילית שמציינת לאיזה ארגון משויך מקור המידע החיצוני.
| תחילית | מקור המידע החיצוני |
|---|---|
| A- | מזהה באג ב-Android |
גרסאות
| הגרסה | תאריך | פתקים |
|---|---|---|
| 1.0 | 25 ביולי 2022 | פורסמו הערות מוצר בנושא אבטחה |
| 1.1 | 8 באוגוסט 2022 | רשימת הבעיות עודכנה |
| 1.2 | 21 בספטמבר 2022 | רשימת הבעיות עודכנה |
| 1.3 | 11 באוקטובר 2022 | רשימת הבעיות עודכנה |
| 1.4 | 28 במרץ 2022 | רשימת הבעיות עודכנה |
| 1.5 | 29 ביוני 2023 | רשימת הבעיות עודכנה |