В этих примечаниях к выпуску содержится информация об уязвимостях в защите, исправленных в Android 14. Все перечисленные здесь проблемы устранены на устройствах Android 14 с исправлением системы безопасности 2023-10-01 или более новым (исправление 2023-10-01 по умолчанию используется в версии Android 14, опубликованной на сайте AOSP). Узнайте, как проверить версию системы безопасности на устройстве Android.
Мы сообщаем партнерам Android обо всех проблемах до публикации бюллетеней. Исправления для устранения указанных уязвимостей в исходном коде будут добавлены в хранилище Android Open Source Project (AOSP) в рамках выпуска Android 14.
Уровень серьезности, указанный в этих примечаниях к выпуску, зависит от того, какой ущерб может быть нанесен устройству, если злоумышленник воспользуется уязвимостью и сможет обойти средства защиты или если эти средства отключит разработчик.
У нас нет информации о том, что обнаруженные уязвимости эксплуатировались. Сведения о том, как платформа безопасности Android и Google Play Защита помогают снизить вероятность успешного использования уязвимостей Android, можно найти в разделе Предотвращение атак.
Объявления
- Проблемы, описанные в этом документе, устранены в Android 14. Сведения о них предоставлены для справки и обеспечения информационной прозрачности.
- Мы благодарим исследователей в области безопасности за их непрерывную работу, которая помогает обеспечить защиту экосистемы Android.
Предотвращение атак
Здесь описано, как платформа безопасности Android и средства защиты сервисов, например Google Play Защита, позволяют снизить вероятность успешного использования уязвимостей Android.
- В новых версиях Android сложнее использовать многие уязвимости, поэтому мы рекомендуем всем пользователям своевременно обновлять систему.
- Команда, отвечающая за безопасность Android, активно отслеживает случаи злоупотребления с помощью Google Play Защиты и предупреждает пользователей об установке потенциально опасных приложений. Google Play Защита по умолчанию включена на телефонах и планшетах, использующих сервисы Google для мобильных устройств. Она особенно важна для тех, кто устанавливает приложения не из Google Play.
Android 14: подробные сведения об уязвимостях
В этом разделе вы найдете подробную информацию обо всех уязвимостях, устраненных в Android 14. Проблемы сгруппированы по компонентам, которые они затрагивают. Для каждого случая указаны CVE, ссылки, тип уязвимости и уровень серьезности.
Android Runtime
| CVE | Ссылки | Тип | Уровень серьезности |
|---|---|---|---|
| CVE-2022-29824 | A-272276710 | EoP | Высокий |
| CVE-2023-21309 | A-266432364 | ID | Средний |
| CVE-2023-21366 | A-265440128 | ID | Средний |
| CVE-2023-21367 | A-265499381 | ID | Средний |
| CVE-2023-21372 | A-262741239 | EoP | Средний |
| CVE-2023-40101 | A-267617531 | ID | Средний |
Framework
| CVE | Ссылки | Тип | Уровень серьезности |
|---|---|---|---|
| CVE-2023-21342 | A-232799171 | EoP | Высокий |
| CVE-2023-21343 | A-257953844 | EoP | Высокий |
| CVE-2023-21351 | A-232798676 | EoP | Высокий |
| CVE-2023-21398 | A-274592326 | EoP | Высокий |
| CVE-2023-21362 | A-229633537 | DoS | Высокий |
| CVE-2023-21364 | A-262595156 | DoS | Высокий |
| CVE-2023-21365 | A-262594744 | DoS | Высокий |
| CVE-2023-21298 | A-179699722 | EoP | Средний |
| CVE-2023-21324 | A-197327805 | EoP | Средний |
| CVE-2023-21328 | A-195963690 | EoP | Средний |
| CVE-2023-21337 | A-179783499 | EoP | Средний |
| CVE-2023-21338 | A-179783492 | EoP | Средний |
| CVE-2023-21341 | A-190694761 | EoP | Средний |
| CVE-2023-21374 | A-267313135 | EoP | Средний |
| CVE-2023-21397 | A-245300607 | EoP | Средний |
| CVE-2022-20264 | A-217561828 | ID | Средний |
| CVE-2022-27404 | A-271684625 | ID | Средний |
| CVE-2023-20907 | A-239415997 | DoS | Высокий |
| CVE-2023-20908 | A-239415861 | DoS | Высокий |
| CVE-2023-21293 | A-213903886 | ID | Средний |
| CVE-2023-21294 | A-191678586 | ID | Средний |
| CVE-2023-21295 | A-187957189 | ID | Средний |
| CVE-2023-21296 | A-202386106 | ID | Средний |
| CVE-2023-21299 | A-224533639 | ID | Средний |
| CVE-2023-21300 | A-224015938 | ID | Средний |
| CVE-2023-21301 | A-224976267 | ID | Средний |
| CVE-2023-21302 | A-228450093 | ID | Средний |
| CVE-2023-21303 | A-208257145 | ID | Средний |
| CVE-2023-21304 | A-208257015 | ID | Средний |
| CVE-2023-21305 | A-207671082 | ID | Средний |
| CVE-2023-21306 | A-208258924 | ID | Средний |
| CVE-2023-21316 | A-207133734 | ID | Средний |
| CVE-2023-21317 | A-207670653 | ID | Средний |
| CVE-2023-21318 | A-208258815 | ID | Средний |
| CVE-2023-21319 | A-217740016 | ID | Средний |
| CVE-2023-21320 | A-205707373 | ID | Средний |
| CVE-2023-21321 | A-231160336 | ID | Средний |
| CVE-2023-21323 | A-232796464 | ID | Средний |
| CVE-2023-21326 | A-232415364 | ID | Средний |
| CVE-2023-21327 | A-186404361 | ID | Средний |
| CVE-2023-21329 | A-185126503 | ID | Средний |
| CVE-2023-21330 | A-238299601 | ID | Средний |
| CVE-2023-21331 | A-227208010 | ID | Средний |
| CVE-2023-21332 | A-212287294 | ID | Средний |
| CVE-2023-21333 | A-212287061 | ID | Средний |
| CVE-2023-21334 | A-189944359 | ID | Средний |
| CVE-2023-21336 | A-216823971 | ID | Средний |
| CVE-2023-21344 | A-248250734 | ID | Средний |
| CVE-2023-21346 | A-248250674 | ID | Средний |
| CVE-2023-21348 | A-249058614 | ID | Средний |
| CVE-2023-21349 | A-241233589 | ID | Средний |
| CVE-2023-21354 | A-241233630 | ID | Средний |
| CVE-2023-21377 | A-231587164 | ID | Средний |
| CVE-2023-21382 | A-161370118 | ID | Средний |
| CVE-2023-21387 | A-280296227 | ID | Средний |
| CVE-2023-21339 | A-235353864 | DoS | Средний |
| CVE-2023-21345 | A-249056757 | ID | Низкий |
| CVE-2023-35678 | A-286882367 | EoP | Высокий |
| CVE-2023-45780 | A-215212215 | EoP | Высокий |
Media Framework
| CVE | Ссылки | Тип | Уровень серьезности |
|---|---|---|---|
| CVE-2023-21381 | A-274883119 | EoP | Высокий |
| CVE-2023-21355 | A-274815060 | EoP | Средний |
Система
| CVE | Ссылки | Тип | Уровень серьезности |
|---|---|---|---|
| CVE-2021-39810 | A-212610736 | EoP | Высокий |
| CVE-2023-21313 | A-268341970 | EoP | Высокий |
| CVE-2023-21358 | A-274447627 | EoP | Высокий |
| CVE-2023-21361 | A-277249213 | EoP | Высокий |
| CVE-2023-21392 | A-281346084 | EoP | Высокий |
| CVE-2023-21312 | A-277915880 | ID | Высокий |
| CVE-2023-21315 | A-277578150 | ID | Высокий |
| CVE-2023-21394 | A-273502295 | ID | Высокий |
| CVE-2023-21356 | A-276975913 | RCE | Средний |
| CVE-2023-21310 | A-274722163 | EoP | Средний |
| CVE-2023-21360 | A-242994452 | EoP | Средний |
| CVE-2023-21370 | A-263948587 | EoP | Средний |
| CVE-2023-21371 | A-263948508 | EoP | Средний |
| CVE-2023-21373 | A-277073811 | EoP | Средний |
| CVE-2023-21375 | A-261071553 | EoP | Средний |
| CVE-2023-21376 | A-212694314 | EoP | Средний |
| CVE-2023-21378 | A-257953390 | EoP | Средний |
| CVE-2023-21380 | A-274722185 | EoP | Средний |
| CVE-2023-21388 | A-269122009 | EoP | Средний |
| CVE-2023-21389 | A-278559731 | EoP | Средний |
| CVE-2023-21390 | A-271849181 | EoP | Средний |
| CVE-2023-21393 | A-262242946 | EoP | Средний |
| CVE-2023-21396 | A-232258773 | EoP | Средний |
| CVE-2022-20531 | A-231988638 | ID | Средний |
| CVE-2023-21308 | A-252764300 | ID | Средний |
| CVE-2023-21314 | A-266433017 | ID | Средний |
| CVE-2023-21325 | A-230755151 | ID | Средний |
| CVE-2023-21335 | A-232938844 | ID | Средний |
| CVE-2023-21340 | A-236813210 | ID | Средний |
| CVE-2023-21347 | A-242171908 | ID | Средний |
| CVE-2023-21350 | A-243792935 | ID | Средний |
| CVE-2023-21352 | A-244155256 | ID | Средний |
| CVE-2023-21353 | A-244155333 | ID | Средний |
| CVE-2023-21357 | A-252996038 | ID | Средний |
| CVE-2023-21359 | A-260726311 | ID | Средний |
| CVE-2023-21368 | A-277288588 | ID | Средний |
| CVE-2023-21379 | A-264921486 | ID | Средний |
| CVE-2023-21383 | A-233607547 | ID | Средний |
| CVE-2023-21384 | A-256590334 | ID | Средний |
| CVE-2023-21385 | A-271458258 | ID | Средний |
| CVE-2023-21395 | A-259939435 | ID | Средний |
| CVE-2023-21311 | A-237289258 | DoS | Средний |
| CVE-2023-21369 | A-264260808 | DoS | Средний |
| CVE-2023-21391 | A-278556945 | DoS | Средний |
| CVE-2023-21386 | A-275552292 | ID | Средний |
| CVE-2023-21297 | A-230733237 | ID | Средний |
| CVE-2023-21307 | A-192475649 | ID | Высокий |
Часто задаваемые вопросы
В этом разделе мы отвечаем на вопросы, которые могут возникнуть после прочтения бюллетеня.
1. Как определить, установлено ли на устройстве обновление, в котором устранены перечисленные проблемы?
Узнайте, как проверить версию системы безопасности на устройстве Android.
В версии Android 14, опубликованной на сайте AOSP, по умолчанию используется исправление системы безопасности 2023-10-01. На устройствах Android 14 с исправлением 2023-10-01 или более новым устранены все уязвимости, описанные в этих примечаниях к выпуску.
2. Что означают сокращения в столбце Тип?
В этом столбце указан тип уязвимости по следующей классификации:
| Сокращение | Описание |
|---|---|
| RCE | Удаленное выполнение кода |
| EoP | Повышение привилегий |
| ID | Раскрытие информации |
| DoS | Отказ в обслуживании |
| Н/Д | Классификация недоступна |
3. Что означает информация в столбце Ссылки?
В таблицах с описанием уязвимостей есть столбец Ссылки. Каждая запись в нем может содержать префикс, указывающий на источник ссылки, а именно:
| Префикс | Значение |
|---|---|
| A- | Идентификатор ошибки Android |
Версии
| Версия | Дата | Примечания |
|---|---|---|
| 1.0 | 4 октября 2023 г. | Бюллетень опубликован. |
| 1.1 | 26 октября 2023 г. | Обновлен список проблем. |
| 1.2 | 9 ноября 2023 г. | Обновлен список проблем. |
| 1.3 | 4 марта 2024 г. | Обновлен список проблем. |