این یادداشتهای انتشار امنیتی اندروید شامل جزئیاتی از آسیبپذیریهای امنیتی مؤثر بر دستگاههای اندروید است که به عنوان بخشی از اندروید ۱۴ برطرف شدهاند. دستگاههای اندروید ۱۴ با سطح وصله امنیتی ۲۰۲۳-۱۰-۰۱ یا بالاتر در برابر این مشکلات محافظت میشوند (اندروید ۱۴، همانطور که در AOSP منتشر شده است، دارای سطح وصله امنیتی پیشفرض ۲۰۲۳-۱۰-۰۱ خواهد بود). برای یادگیری نحوه بررسی سطح وصله امنیتی دستگاه، به بررسی و بهروزرسانی نسخه اندروید خود مراجعه کنید.
شرکای اندروید قبل از انتشار از تمام مشکلات مطلع میشوند. وصلههای کد منبع برای این مشکلات به عنوان بخشی از نسخه اندروید ۱۴ در مخزن پروژه متنباز اندروید (AOSP) منتشر خواهد شد.
ارزیابی شدت مشکلات در این یادداشتهای انتشار، بر اساس تأثیری است که سوءاستفاده از این آسیبپذیری میتواند بر روی دستگاه آسیبدیده داشته باشد، با فرض اینکه اقدامات کاهش آسیبپذیری پلتفرم و سرویس برای اهداف توسعه غیرفعال شده باشند یا با موفقیت دور زده شوند.
ما هیچ گزارشی مبنی بر سوءاستفاده یا بهرهبرداری فعال مشتریان از این مشکلات تازه گزارششده نداشتهایم. برای جزئیات بیشتر در مورد محافظتهای پلتفرم امنیتی اندروید و Google Play Protect که امنیت پلتفرم اندروید را بهبود میبخشند، به بخش راهکارهای کاهش آسیبپذیری Android و Google Play Protect مراجعه کنید.
اطلاعیهها
- مشکلات شرح داده شده در این سند به عنوان بخشی از اندروید ۱۴ مورد بررسی قرار گرفتهاند. این اطلاعات برای مرجع و شفافیت ارائه شده است.
- ما مایلیم از جامعهی تحقیقات امنیتی به خاطر مشارکتهای مستمرشان در جهت ایمنسازی اکوسیستم اندروید، قدردانی و تشکر کنیم .
راهکارهای کاهش خطرات اندروید و سرویسهای گوگل
این خلاصهای از راهکارهای کاهش خطرات ارائه شده توسط پلتفرم امنیتی اندروید و سرویسهای محافظتی مانند Google Play Protect است. این قابلیتها احتمال سوءاستفاده موفقیتآمیز از آسیبپذیریهای امنیتی در اندروید را کاهش میدهند.
- سوءاستفاده از بسیاری از مشکلات در اندروید با پیشرفتهای نسخههای جدیدتر پلتفرم اندروید دشوارتر شده است. ما به همه کاربران توصیه میکنیم در صورت امکان، آخرین نسخه اندروید را بهروزرسانی کنند.
- تیم امنیتی اندروید به طور فعال از طریق Google Play Protect سوءاستفادهها را رصد میکند و به کاربران در مورد برنامههای بالقوه مضر هشدار میدهد. Google Play Protect به طور پیشفرض در دستگاههایی با سرویسهای موبایل گوگل فعال است و به ویژه برای کاربرانی که برنامهها را از خارج از Google Play نصب میکنند، بسیار مهم است.
جزئیات آسیبپذیری اندروید ۱۴
بخشهای زیر جزئیات آسیبپذیریهای امنیتی رفعشده به عنوان بخشی از اندروید ۱۴ را ارائه میدهند. آسیبپذیریها تحت مؤلفهای که تحت تأثیر قرار میدهند گروهبندی شدهاند و شامل جزئیاتی مانند CVE، ارجاعات مرتبط، نوع آسیبپذیری و شدت آن میشوند.
زمان اجرای اندروید
| سی وی ای | منابع | نوع | شدت |
|---|---|---|---|
| CVE-2022-29824 | الف-۲۷۲۲۷۶۷۱ | ای او پی | بالا |
| CVE-2023-21309 | الف-۲۶۶۴۳۲۳۶۴ | شناسه | متوسط |
| CVE-2023-21366 | الف-۲۶۵۴۴۰۱۲۸ | شناسه | متوسط |
| CVE-2023-21367 | الف-۲۶۵۴۹۹۳۸۱ | شناسه | متوسط |
| CVE-2023-21372 | الف-۲۶۲۷۴۱۲۳ | ای او پی | متوسط |
| CVE-2023-40101 | الف-۲۶۷۶۱۷۵۳۱ | شناسه | متوسط |
چارچوب
| سی وی ای | منابع | نوع | شدت |
|---|---|---|---|
| CVE-2023-21342 | الف-۲۳۲۷۹۹۱۷۱ | ای او پی | بالا |
| CVE-2023-21343 | الف-۲۵۷۹۵۳۸۴۴ | ای او پی | بالا |
| CVE-2023-21351 | الف-۲۳۲۷۹۸۶۷۶ | ای او پی | بالا |
| CVE-2023-21398 | الف-۲۷۴۵۹۲۳۲۶ | ای او پی | بالا |
| CVE-2023-21362 | الف-۲۲۹۶۳۳۵۳۷ | داس | بالا |
| CVE-2023-21364 | الف-۲۶۲۵۹۵۱۵۶ | داس | بالا |
| CVE-2023-21365 | الف-۲۶۲۵۹۴۷۴۴ | داس | بالا |
| CVE-2023-21298 | الف-۱۷۹۶۹۹۷۲۲ | ای او پی | متوسط |
| CVE-2023-21324 | الف-۱۹۷۳۲۷۸۰۵ | ای او پی | متوسط |
| CVE-2023-21328 | الف-۱۹۵۹۶۳۶۹۰ | ای او پی | متوسط |
| CVE-2023-21337 | الف-۱۷۹۷۸۳۴۹۹ | ای او پی | متوسط |
| CVE-2023-21338 | الف-۱۷۹۷۸۳۴۹۲ | ای او پی | متوسط |
| CVE-2023-21341 | الف-۱۹۰۶۹۴۷۶۱ | ای او پی | متوسط |
| CVE-2023-21374 | الف-۲۶۷۳۱۳۱۳۵ | ای او پی | متوسط |
| CVE-2023-21397 | الف-۲۴۵۳۰۰۶۰۷ | ای او پی | متوسط |
| CVE-2022-20264 | الف-۲۱۷۵۶۱۸۲۸ | شناسه | متوسط |
| CVE-2022-27404 | الف-۲۷۱۶۸۴۶۲۵ | شناسه | متوسط |
| CVE-2023-20907 | الف-۲۳۹۴۱۵۹۹۷ | داس | بالا |
| CVE-2023-20908 | الف-۲۳۹۴۱۵۸۶۱ | داس | بالا |
| CVE-2023-21293 | الف-۲۱۳۹۰۳۸۶ | شناسه | متوسط |
| CVE-2023-21294 | الف-۱۹۱۶۷۸۵۸۶ | شناسه | متوسط |
| CVE-2023-21295 | الف-۱۸۷۹۵۷۱۸۹ | شناسه | متوسط |
| CVE-2023-21296 | الف-۲۰۲۳۸۶۱۰۶ | شناسه | متوسط |
| CVE-2023-21299 | الف-۲۲۴۵۳۳۶۳۹ | شناسه | متوسط |
| CVE-2023-21300 | الف-۲۲۴۰۱۵۹۳۸ | شناسه | متوسط |
| CVE-2023-21301 | الف-۲۲۴۹۷۶۲۶۷ | شناسه | متوسط |
| CVE-2023-21302 | الف-۲۲۸۴۵۰۰۹۳ | شناسه | متوسط |
| CVE-2023-21303 | الف-۲۰۸۲۵۷۱۴۵ | شناسه | متوسط |
| CVE-2023-21304 | الف-۲۰۸۲۵۷۰۱۵ | شناسه | متوسط |
| CVE-2023-21305 | الف-۲۰۷۶۷۱۰۸۲ | شناسه | متوسط |
| CVE-2023-21306 | الف-۲۰۸۲۵۸۹۲۴ | شناسه | متوسط |
| CVE-2023-21316 | الف-۲۰۷۱۳۷۳۴ | شناسه | متوسط |
| CVE-2023-21317 | الف-۲۰۷۶۷۰۶۵۳ | شناسه | متوسط |
| CVE-2023-21318 | الف-۲۰۸۲۵۸۸۱۵ | شناسه | متوسط |
| CVE-2023-21319 | الف-۲۱۷۷۴۰۰۱۶ | شناسه | متوسط |
| CVE-2023-21320 | الف-۲۰۵۷۰۷۳۷۳ | شناسه | متوسط |
| CVE-2023-21321 | الف-۲۳۱۱۶۰۳۳۶ | شناسه | متوسط |
| CVE-2023-21323 | الف-۲۳۲۷۹۶۴۶۴ | شناسه | متوسط |
| CVE-2023-21326 | الف-۲۳۲۴۱۵۳۶۴ | شناسه | متوسط |
| CVE-2023-21327 | الف-۱۸۶۴۰۴۳۶۱ | شناسه | متوسط |
| CVE-2023-21329 | الف-۱۸۵۱۲۶۵۰۳ | شناسه | متوسط |
| CVE-2023-21330 | الف-۲۳۸۲۹۹۶۰۱ | شناسه | متوسط |
| CVE-2023-21331 | الف-۲۲۷۲۰۸۰۱ | شناسه | متوسط |
| CVE-2023-21332 | الف-۲۱۲۲۸۷۲۹۴ | شناسه | متوسط |
| CVE-2023-21333 | الف-۲۱۲۲۸۷۰۶۱ | شناسه | متوسط |
| CVE-2023-21334 | الف-۱۸۹۹۴۴۳۵۹ | شناسه | متوسط |
| CVE-2023-21336 | الف-۲۱۶۸۲۳۹۷۱ | شناسه | متوسط |
| CVE-2023-21344 | الف-۲۴۸۲۵۰۷۳۴ | شناسه | متوسط |
| CVE-2023-21346 | الف-۲۴۸۲۵۰۶۷۴ | شناسه | متوسط |
| CVE-2023-21348 | الف-۲۴۹۰۵۸۶۱۴ | شناسه | متوسط |
| CVE-2023-21349 | الف-۲۴۱۲۳۳۵۸۹ | شناسه | متوسط |
| CVE-2023-21354 | الف-۲۴۱۲۳۳۶۳۰ | شناسه | متوسط |
| CVE-2023-21377 | الف-۲۳۱۵۸۷۱۶۴ | شناسه | متوسط |
| CVE-2023-21382 | الف-۱۶۱۳۷۰۱۱۸ | شناسه | متوسط |
| CVE-2023-21387 | الف-۲۸۰۲۹۶۲۲۷ | شناسه | متوسط |
| CVE-2023-21339 | الف-۲۳۵۳۵۳۸۶۴ | داس | متوسط |
| CVE-2023-21345 | الف-۲۴۹۰۵۶۷۵۷ | شناسه | کم |
| CVE-2023-35678 | الف-۲۸۶۸۸۲۳۶۷ | ای او پی | بالا |
| CVE-2023-45780 | الف-۲۱۵۲۱۲۲۱۵ | ای او پی | بالا |
| CVE-2023-45784 | الف-۴۴۷۵۹۸۹۹۶ | ای او پی | بالا |
چارچوب رسانهای
| سی وی ای | منابع | نوع | شدت |
|---|---|---|---|
| CVE-2023-21381 | الف-۲۷۴۸۸۳۱۱۹ | ای او پی | بالا |
| CVE-2023-21355 | الف-۲۷۴۸۱۵۰۶۰ | ای او پی | متوسط |
سیستم
| سی وی ای | منابع | نوع | شدت |
|---|---|---|---|
| CVE-2021-39810 | الف-۲۱۲۶۱۰۷۳۶ | ای او پی | بالا |
| CVE-2023-21313 | الف-۲۶۸۳۴۱۹۷۰ | ای او پی | بالا |
| CVE-2023-21358 | الف-۲۷۴۴۴۷۶۲۷ | ای او پی | بالا |
| CVE-2023-21361 | الف-۲۷۷۲۴۹۲۱۳ | ای او پی | بالا |
| CVE-2023-21392 | الف-۲۸۱۳۴۶۰۸۴ | ای او پی | بالا |
| CVE-2023-21312 | الف-۲۷۷۹۱۵۸۸۰ | شناسه | بالا |
| CVE-2023-21315 | الف-۲۷۷۵۷۸۱۵۰ | شناسه | بالا |
| CVE-2023-21394 | الف-۲۷۳۵۰۲۲۹۵ | شناسه | بالا |
| CVE-2023-21356 | الف-۲۷۶۹۷۵۹۱۳ | آر سی ای | متوسط |
| CVE-2023-21310 | الف-۲۷۴۷۲۲۱۶۳ | ای او پی | متوسط |
| CVE-2023-21360 | الف-۲۴۲۹۹۴۴۵۲ | ای او پی | متوسط |
| CVE-2023-21370 | الف-۲۶۳۹۴۸۵۸۷ | ای او پی | متوسط |
| CVE-2023-21371 | الف-۲۶۳۹۴۸۵۰۸ | ای او پی | متوسط |
| CVE-2023-21373 | الف-۲۷۷۰۷۳۸۱۱ | ای او پی | متوسط |
| CVE-2023-21375 | الف-۲۶۱۰۷۱۵۵۳ | ای او پی | متوسط |
| CVE-2023-21376 | الف-۲۱۲۶۹۴۳۱۴ | ای او پی | متوسط |
| CVE-2023-21378 | الف-۲۵۷۹۵۳۳۹۰ | ای او پی | متوسط |
| CVE-2023-21380 | الف-۲۷۴۷۲۲۱۸ | ای او پی | متوسط |
| CVE-2023-21388 | الف-۲۶۹۱۲۲۰۰۹ | ای او پی | متوسط |
| CVE-2023-21389 | الف-۲۷۸۵۵۹۷۳۱ | ای او پی | متوسط |
| CVE-2023-21390 | الف-۲۷۱۸۴۹۱۸۱ | ای او پی | متوسط |
| CVE-2023-21393 | الف-۲۶۲۲۴۲۹۴۶ | ای او پی | متوسط |
| CVE-2023-21396 | الف-۲۳۲۲۵۸۷۷۳ | ای او پی | متوسط |
| CVE-2022-20531 | الف-۲۳۱۹۸۸۶۳۸ | شناسه | متوسط |
| CVE-2023-21308 | الف-۲۵۲۷۶۴۳۰۰ | شناسه | متوسط |
| CVE-2023-21314 | الف-۲۶۶۴۳۳۰۱۷ | شناسه | متوسط |
| CVE-2023-21325 | الف-۲۳۰۷۵۱۵۱ | شناسه | متوسط |
| CVE-2023-21335 | الف-۲۳۲۹۳۸۸۴۴ | شناسه | متوسط |
| CVE-2023-21340 | الف-۲۳۶۸۱۳۲۱۰ | شناسه | متوسط |
| CVE-2023-21347 | الف-۲۴۲۱۷۱۹۰۸ | شناسه | متوسط |
| CVE-2023-21350 | الف-۲۴۳۷۹۲۹۳۵ | شناسه | متوسط |
| CVE-2023-21352 | الف-۲۴۴۱۵۵۲۵۶ | شناسه | متوسط |
| CVE-2023-21353 | الف-۲۴۴۱۵۵۳۳ | شناسه | متوسط |
| CVE-2023-21357 | الف-۲۵۲۹۹۶۰۳۸ | شناسه | متوسط |
| CVE-2023-21359 | الف-۲۶۰۷۲۶۳۱ | شناسه | متوسط |
| CVE-2023-21368 | الف-۲۷۷۲۸۸۵۸۸ | شناسه | متوسط |
| CVE-2023-21379 | الف-۲۶۴۹۲۱۴۸۶ | شناسه | متوسط |
| CVE-2023-21383 | الف-۲۳۳۶۰۷۵۴۴۷ | شناسه | متوسط |
| CVE-2023-21384 | الف-۲۵۶۵۹۰۳۳۴ | شناسه | متوسط |
| CVE-2023-21385 | الف-۲۷۱۴۵۸۲۵۸ | شناسه | متوسط |
| CVE-2023-21395 | الف-۲۵۹۹۳۹۴۳۵ | شناسه | متوسط |
| CVE-2023-21311 | الف-۲۳۷۲۸۹۲۵۸ | داس | متوسط |
| CVE-2023-21369 | الف-۲۶۴۲۶۰۸۰۸ | داس | متوسط |
| CVE-2023-21391 | الف-۲۷۸۵۵۶۹۴۵ | داس | متوسط |
| CVE-2023-21386 | الف-۲۷۵۵۵۲۹۲ | شناسه | متوسط |
| CVE-2023-21297 | الف-۲۳۰۷۳۳۲۳۷ | شناسه | متوسط |
| CVE-2023-21307 | الف-۱۹۲۴۷۵۶۴۹ | شناسه | بالا |
| CVE-2023-45782 | الف-180417661 | شناسه | بالا |
سوالات و پاسخهای رایج
این بخش به سوالات متداولی که ممکن است پس از خواندن این بولتن برای شما پیش بیاید، پاسخ میدهد.
۱. چگونه میتوانم تشخیص دهم که آیا دستگاه من برای رفع این مشکلات بهروزرسانی شده است یا خیر؟
برای آشنایی با نحوه بررسی سطح وصله امنیتی دستگاه، به بخش «بررسی و بهروزرسانی نسخه اندروید» مراجعه کنید.
اندروید ۱۴، همانطور که در AOSP منتشر شده است، دارای سطح وصله امنیتی پیشفرض ۲۰۲۳-۱۰-۰۱ است. دستگاههای اندرویدی که اندروید ۱۴ را اجرا میکنند و سطح وصله امنیتی ۲۰۲۳-۱۰-۰۱ یا بالاتر دارند، تمام مشکلات موجود در این یادداشتهای انتشار امنیتی را برطرف میکنند.
۲. منظور از ورودیهای ستون Type چیست؟
ورودیهای ستون نوع جدول جزئیات آسیبپذیری، طبقهبندی آسیبپذیری امنیتی را نشان میدهند.
| اختصار | تعریف |
|---|---|
| آر سی ای | اجرای کد از راه دور |
| ای او پی | ارتقاء امتیاز |
| شناسه | افشای اطلاعات |
| داس | عدم ارائه خدمات |
| ناموجود | طبقه بندی موجود نیست |
۳. منظور از ورودیهای ستون منابع چیست؟
ورودیهای زیر ستون References در جدول جزئیات آسیبپذیری ممکن است حاوی پیشوندی باشند که سازمانی را که مقدار مرجع به آن تعلق دارد، مشخص میکند.
| پیشوند | مرجع |
|---|---|
| الف- | شناسه اشکال اندروید |
نسخهها
| نسخه | تاریخ | یادداشتها |
|---|---|---|
| ۱.۰ | ۴ اکتبر ۲۰۲۳ | بولتن منتشر شده |
| ۱.۱ | ۲۶ اکتبر ۲۰۲۳ | فهرست مشکلات بهروزرسانیشده |
| ۱.۲ | ۹ نوامبر ۲۰۲۳ | فهرست مشکلات بهروزرسانیشده |
| ۱.۳ | ۴ مارس ۲۰۲۴ | فهرست مشکلات بهروزرسانیشده |
| ۱.۴/td> | ۱۶ ژانویه ۲۰۲۶ | فهرست مشکلات بهروزرسانیشده |