Opublikowano 7 sierpnia 2023 r.
Biuletyn o zabezpieczeniach Wear OS zawiera szczegółowe informacje o lukach w zabezpieczeniach, które mają wpływ na platformę Wear OS. Pełna aktualizacja Wear OS obejmuje stan poprawki zabezpieczeń z 5 sierpnia 2023 r. lub nowszy z biuletynu bezpieczeństwa Androida z sierpnia 2023 r., a także wszystkie problemy opisane w tym biuletynie.
Zachęcamy wszystkich klientów do akceptowania tych aktualizacji na swoich urządzeniach.
Najpoważniejszym z tych problemów jest luka w zabezpieczeniach w komponencie Framework, która może prowadzić do lokalnego podwyższenia uprawnień bez konieczności uzyskania dodatkowych uprawnień do wykonywania. Wykorzystanie nie wymaga interakcji użytkownika. Ocena stopnia ważności jest oparta na wpływie, jaki wykorzystanie luki w zabezpieczeniach może mieć na urządzeniu, przy założeniu, że zabezpieczenia platformy i usługi są wyłączone na potrzeby programistyki lub zostały pomyślnie omijane.
Ogłoszenia
- Oprócz zagrożeń opisanych w powiadomieniu o lukach w zabezpieczeniach w Androidzie z sierpnia 2023 r. powiadomienie o lukach w zabezpieczeniach w Wear OS z tego samego miesiąca zawiera również poprawki dotyczące luk w Wear OS, które opisano poniżej.
Szczegóły luki w zabezpieczeniach na poziomie poprawki zabezpieczeń z 2023-08-01
W sekcjach poniżej znajdziesz szczegółowe informacje o każdej z luk w zabezpieczeniach, które dotyczą poziomu poprawek z 2023-08-01. Luki w zabezpieczeniach są pogrupowane według komponentu, którego dotyczą. Problemy są opisane w tabelach poniżej i zawierają identyfikator CVE, powiązane odniesienia, typ luki, powagę oraz zaktualizowane wersje AOSP (w stosownych przypadkach). W razie możliwości łączymy publiczną zmianę, która rozwiązała problem, z identyfikatorem błędu, np. z listą zmian w AOSP. Jeśli pojedynczy błąd dotyczy wielu zmian, dodatkowe odniesienia są połączone z liczbami po identyfikatorze błędu. Urządzenia z Androidem 10 lub nowszym mogą otrzymywać aktualizacje zabezpieczeń, a także aktualizacje systemowe Google Play.
Platforma
Podana w tej sekcji luka może prowadzić do lokalnej eskalacji uprawnień bez konieczności uzyskania dodatkowych uprawnień do wykonania. Wykorzystanie nie wymaga interakcji użytkownika.| CVE | Pliki referencyjne | Typ | Poziom | Zaktualizowane wersje AOSP |
|---|---|---|---|---|
| CVE-2023-21229 | A-265431830 | EoP | Wysoki | 11, 13 |
Platforma
Użytkownik lokalny może wykorzystać podatność opisaną w tej sekcji, aby ujawnić informacje bez dodatkowych uprawnień do wykonywania. Wykorzystanie nie wymaga interakcji użytkownika.| CVE | Pliki referencyjne | Typ | Poziom | Zaktualizowane wersje AOSP |
|---|---|---|---|---|
| CVE-2023-21230 | A-191680486 | ID | Wysoki | 11, 13 |
System
Najpoważniejsza luka w tym rozdziale może prowadzić do lokalnego podwyższenia uprawnień bez konieczności uzyskania dodatkowych uprawnień do wykonania. Wykorzystanie nie wymaga interakcji użytkownika.| CVE | Pliki referencyjne | Typ | Poziom | Zaktualizowane wersje AOSP |
|---|---|---|---|---|
| CVE-2023-21231 | A-187307530 | EoP | Wysoki | 13 |
| CVE-2023-21234 | A-260859883 | EoP | Wysoki | 11, 13 |
| CVE-2023-21235 | A-133761964 | EoP | Wysoki | 11, 13 |
| CVE-2023-35689 | A-265474852 | EoP | Wysoki | 11, 13 |
| CVE-2023-21232 | A-267251033 | ID | Wysoki | 11, 13 |
| CVE-2023-21233 | A-261073851 | ID | Wysoki | 11 |
Najczęstsze pytania i odpowiedzi
W tej sekcji znajdziesz odpowiedzi na najczęstsze pytania, które mogą pojawić się po przeczytaniu tego biuletynu.
1. Jak sprawdzić, czy moje urządzenie jest zaktualizowane i czy rozwiązuje te problemy?
Aby dowiedzieć się, jak sprawdzić poziom poprawki zabezpieczeń urządzenia, zapoznaj się z instrukcjami na stronie Harmonogram aktualizacji urządzeń Google.
- Poziomy aktualizacji zabezpieczeń z 2023-08-01 lub nowsze rozwiązują wszystkie problemy związane z poziomem aktualizacji zabezpieczeń z 2023-08-01.
W przypadku niektórych urządzeń z Androidem 10 lub nowszym aktualizacja systemu Google Play będzie miała ciąg znaków daty odpowiadający poziomowi poprawki zabezpieczeń z 01.08.2023. Więcej informacji o instalowaniu aktualizacji zabezpieczeń znajdziesz w tym artykule.
2. Co oznaczają wpisy w kolumnie Typ?
Wpisy w kolumnie Typ w tabeli szczegółów podatności odnoszą się do klasyfikacji podatności na zagrożenia.
| Skrót | Definicja |
|---|---|
| RCE | Zdalne wykonywanie kodu |
| EoP | Podniesienie uprawnień |
| ID | Ujawnianie informacji |
| DoS | Atak typu DoS |
| Nie dotyczy | Klasyfikacja niedostępna |
3. Co oznaczają wpisy w kolumnie Odniesienia?
Wpisy w kolumnie Odwołania w tabeli szczegółów podatności mogą zawierać prefiks identyfikujący organizację, do której należy wartość odwołania.
| Prefiks | Źródła wiedzy |
|---|---|
| A- | Identyfikator błędu na Androidzie |
| QC- | Numer referencyjny Qualcomm |
| M- | Numer referencyjny MediaTek |
| N- | Numer referencyjny NVIDIA |
| B- | Numer referencyjny Broadcom |
| U- | Numer referencyjny UNISOC |
Wersje
| Wersja | Data | Uwagi |
|---|---|---|
| 1,0 | 7 sierpnia 2023 r. | Biuletyn opublikowany |