منتشر شده در 7 آگوست 2023
بولتن امنیتی Wear OS حاوی جزئیاتی از آسیبپذیریهای امنیتی است که بر پلتفرم Wear OS تأثیر میگذارد. بهروزرسانی کامل Wear OS شامل سطح وصله امنیتی 05-08-2023 یا بالاتر از بولتن امنیتی Android اوت 2023، علاوه بر همه مشکلات موجود در این بولتن است.
ما همه مشتریان را تشویق می کنیم که این به روز رسانی ها را برای دستگاه های خود بپذیرند.
شدیدترین این مسائل یک آسیب پذیری امنیتی بالا در مولفه Framework است که می تواند منجر به افزایش محلی امتیاز بدون نیاز به مجوزهای اجرایی اضافی شود. تعامل کاربر برای بهره برداری لازم نیست. ارزیابی شدت بر اساس تأثیری است که بهرهبرداری از آسیبپذیری احتمالاً روی دستگاه آسیبدیده میگذارد، با این فرض که پلتفرم و تخفیفهای سرویس برای اهداف توسعه خاموش شدهاند یا در صورت دور زدن موفقیتآمیز انجام شوند.
اطلاعیه ها
- علاوه بر آسیبپذیریهای امنیتی شرحدادهشده در بولتن امنیتی اندروید آگوست ۲۰۲۳، بولتن امنیتی Wear OS اوت ۲۰۲۳ همچنین حاوی وصلههایی است که بهطور خاص برای آسیبپذیریهای Wear OS به شرح زیر است.
جزئیات آسیبپذیری سطح وصله امنیتی 01/08/2023
در بخشهای زیر، جزئیات مربوط به هر یک از آسیبپذیریهای امنیتی که در سطح وصله ۲۰۲۳-۰۸-۰۱ اعمال میشوند، ارائه میکنیم. آسیبپذیریها بر اساس مؤلفهای که بر آن تأثیر میگذارند گروهبندی میشوند. مسائل در جداول زیر توضیح داده شده اند و شامل شناسه CVE، مراجع مرتبط، نوع آسیب پذیری ، شدت و نسخه های به روز شده AOSP (در صورت لزوم) می باشند. هنگامی که در دسترس باشد، تغییر عمومی را که مشکل را حل کرده است، مانند لیست تغییرات AOSP، به شناسه اشکال مرتبط می کنیم. هنگامی که تغییرات متعدد به یک باگ مربوط می شود، ارجاعات اضافی به اعدادی که پس از شناسه اشکال مرتبط هستند، مرتبط می شوند. دستگاههای دارای Android 10 و بالاتر ممکن است بهروزرسانیهای امنیتی و همچنین بهروزرسانیهای سیستم Google Play را دریافت کنند.
چارچوب
آسیبپذیری در این بخش میتواند منجر به افزایش محلی امتیاز بدون نیاز به امتیازات اجرایی اضافی شود. تعامل کاربر برای بهره برداری لازم نیست.| CVE | منابع | تایپ کنید | شدت | نسخه های AOSP به روز شده |
|---|---|---|---|---|
| CVE-2023-21229 | الف-265431830 | EoP | بالا | 11، 13 |
سکو
آسیبپذیری در این بخش میتواند منجر به افشای اطلاعات محلی بدون نیاز به مجوزهای اجرایی اضافی شود. تعامل کاربر برای بهره برداری لازم نیست.| CVE | منابع | تایپ کنید | شدت | نسخه های AOSP به روز شده |
|---|---|---|---|---|
| CVE-2023-21230 | الف-191680486 | شناسه | بالا | 11، 13 |
سیستم
شدیدترین آسیبپذیری در این بخش میتواند منجر به افزایش محلی امتیاز بدون نیاز به مجوزهای اجرایی اضافی شود. تعامل کاربر برای بهره برداری لازم نیست.| CVE | منابع | تایپ کنید | شدت | نسخه های AOSP به روز شده |
|---|---|---|---|---|
| CVE-2023-21231 | الف-187307530 | EoP | بالا | 13 |
| CVE-2023-21234 | الف-260859883 | EoP | بالا | 11، 13 |
| CVE-2023-21235 | الف-133761964 | EoP | بالا | 11، 13 |
| CVE-2023-35689 | الف-265474852 | EoP | بالا | 11، 13 |
| CVE-2023-21232 | الف-267251033 | شناسه | بالا | 11، 13 |
| CVE-2023-21233 | الف-261073851 | شناسه | بالا | 11 |
پرسش و پاسخ متداول
این بخش به سوالات متداولی که ممکن است پس از خواندن این بولتن رخ دهد پاسخ می دهد.
1. چگونه تشخیص دهم که آیا دستگاه من برای رفع این مشکلات به روز شده است؟
برای آشنایی با نحوه بررسی سطح وصله امنیتی دستگاه، دستورالعملهای زمانبندی بهروزرسانی دستگاه Google را بخوانید.
- سطوح وصله امنیتی 2023-08-01 یا جدیدتر تمام مسائل مرتبط با سطح وصله امنیتی 2023-08-01 را برطرف می کند.
برای برخی از دستگاههای اندروید 10 یا جدیدتر، بهروزرسانی سیستم Google Play دارای یک رشته تاریخی است که با سطح وصله امنیتی 01-08-2023 مطابقت دارد. لطفاً برای جزئیات بیشتر در مورد نحوه نصب بهروزرسانیهای امنیتی، این مقاله را ببینید.
2. ورودی های ستون Type به چه معناست؟
ورودی های ستون نوع جدول جزئیات آسیب پذیری به طبقه بندی آسیب پذیری امنیتی اشاره دارد.
| مخفف | تعریف |
|---|---|
| RCE | اجرای کد از راه دور |
| EoP | بالا بردن امتیاز |
| شناسه | افشای اطلاعات |
| DoS | خود داری از خدمات |
| N/A | طبقه بندی در دسترس نیست |
3. ورودی های ستون References به چه معناست؟
ورودیهای زیر ستون مراجع جدول جزئیات آسیبپذیری ممکن است حاوی پیشوندی باشد که سازمانی را که مقدار مرجع به آن تعلق دارد، مشخص میکند.
| پیشوند | ارجاع |
|---|---|
| آ- | شناسه باگ اندروید |
| QC- | شماره مرجع کوالکام |
| M- | شماره مرجع مدیاتک |
| N- | شماره مرجع NVIDIA |
| ب- | شماره مرجع Broadcom |
| U- | شماره مرجع UNISOC |
نسخه ها
| نسخه | تاریخ | یادداشت |
|---|---|---|
| 1.0 | 7 آگوست 2023 | بولتن منتشر شد |
محتوا و نمونه کدها در این صفحه مشمول پروانههای توصیفشده در پروانه محتوا هستند. جاوا و OpenJDK علامتهای تجاری یا علامتهای تجاری ثبتشده Oracle و/یا وابستههای آن هستند.
تاریخ آخرین بهروزرسانی 2024-09-05 بهوقت ساعت هماهنگ جهانی.