Android 13 安全性版本说明

发布时间:2022 年 7 月 25 日 | 更新时间:2022 年 3 月 28 日

本 Android 安全性版本说明详细介绍了会影响 Android 设备的安全漏洞,这些漏洞已在 Android 13 中得到解决。安全补丁级别为 2022-09-01 或更新的 Android 13 设备不会受到这些问题的影响(在 AOSP 上发布的 Android 13 的默认安全补丁级别将为 2022-09-01)。如需了解如何查看设备的安全补丁级别,请参阅查看和更新 Android 版本

Android 合作伙伴在本公告发布前就已收到关于所有问题的通知。我们会在 Android 13 版本中将针对这些问题的源代码补丁发布到 Android 开源项目 (AOSP) 代码库中。

这些版本说明中所述问题的严重程度评估的依据是漏洞被利用后可能会对受影响的设备造成的影响(假设相关平台和服务缓解措施被成功规避或出于开发目的而被停用)。

尚未有人向我们举报过有用户主动利用或滥用这些新报告的问题。请参阅 Android 和 Google Play 保护机制提供的缓解措施部分,详细了解有助于提高 Android 平台安全性的 Android 安全平台防护功能和 Google Play 保护机制。

通告

  • 本文档中所述的问题已在 Android 13 中得到解决。这些信息仅供参考并向用户公开。
  • 我们衷心感谢安全研究社区对保护 Android 生态系统持续做出的贡献。

Android 和 Google 服务缓解措施

这一部分总结了 Android 安全平台和服务防护功能(如 Google Play 保护机制)提供的缓解措施。这些功能有助于降低 Android 上的安全漏洞被成功利用的可能性。

  • 较高版本的 Android 平台中提供的增强功能让攻击者更加难以利用 Android 上存在的许多问题。我们建议所有用户都尽可能更新到最新版 Android。
  • Android 安全团队会积极利用 Google Play 保护机制监控滥用行为,并会在发现潜在有害应用时向用户发出警告。在安装有 Google 移动服务的设备上,Google Play 保护机制会默认处于启用状态,对于从 Google Play 以外的来源安装应用的用户来说,该功能尤为重要。

Android 13 漏洞详情

以下部分提供了在 Android 13 中修复的安全漏洞的详细信息。漏洞列在所影响的组件下,内容包括 CVE、相关参考编号、漏洞类型严重程度

Android 运行时

CVE 参考编号 类型 严重程度
CVE-2013-0340 A-24901276 DoS

框架

CVE 参考编号 类型 严重程度
CVE-2022-20266 A-211757348 EoP
CVE-2022-20301 A-200956614 EoP
CVE-2022-20305 A-199751623 EoP
CVE-2022-20270 A-209005023 ID
CVE-2022-20294 A-202160705 ID
CVE-2022-20295 A-202160584 ID
CVE-2022-20296 A-201794303 ID
CVE-2022-20298 A-201416182 ID
CVE-2022-20299 A-201415895 ID
CVE-2022-20300 A-200956588 ID
CVE-2022-20303 A-200573021 ID
CVE-2022-20304 A-199751919 ID
CVE-2022-20260 A-220865698 DoS
CVE-2022-20246 A-230493191 EoP
CVE-2022-20250 A-226134095 EoP
CVE-2022-20255 A-222687217 EoP
CVE-2022-20268 A-210468836 EoP
CVE-2022-20271 A-207672635 EoP
CVE-2022-20278 A-205130113 EoP
CVE-2022-20281 A-204083967 EoP
CVE-2022-20282 A-204083104 EoP
CVE-2022-20312 A-192244925 EoP
CVE-2022-20331 A-181785557 EoP
CVE-2021-0734 A-189122911 ID
CVE-2021-0735 A-188913056 ID
CVE-2021-0975 A-180104273 ID
CVE-2022-20243 A-190199986 ID
CVE-2022-20249 A-226900861 ID
CVE-2022-20252 A-224547584 ID
CVE-2022-20262 A-218338453 ID
CVE-2022-20263 A-217935264 ID
CVE-2022-20272 A-207672568 ID
CVE-2022-20275 A-205836975 ID
CVE-2022-20276 A-205706731 ID
CVE-2022-20277 A-205145497 ID
CVE-2022-20279 A-204877302 ID
CVE-2022-20285 A-230868108 ID
CVE-2022-20287 A-204082784 ID
CVE-2022-20288 A-204082360 ID
CVE-2022-20289 A-203683960 ID
CVE-2022-20291 A-203430648 ID
CVE-2022-20293 A-202298672 ID
CVE-2022-20307 A-198782887 ID
CVE-2022-20309 A-194694094 ID
CVE-2022-20315 A-191058227 ID
CVE-2022-20316 A-190726121 ID
CVE-2022-20318 A-194694069 ID
CVE-2022-20320 A-187956596 ID
CVE-2022-20324 A-187042120 ID
CVE-2022-20328 A-184948501 ID
CVE-2022-20332 A-180019130 ID
CVE-2022-20336 A-177239688 ID
CVE-2022-20341 A-162952629 ID
CVE-2022-20322 A-187176993 ID
CVE-2022-20323 A-187176203 ID

媒体框架

CVE 参考编号 类型 严重程度
CVE-2022-20290 A-203549963 EoP
CVE-2022-20325 A-186473060 EoP
CVE-2022-20247 A-229858836 ID
CVE-2022-20317 A-190199063 ID

软件包

CVE 参考编号 类型 严重程度
CVE-2022-20319 A-189574230 EoP

平台

CVE 参考编号 类型 严重程度
CVE-2022-20302 A-200746457 EoP
CVE-2022-20321 A-187176859 ID

平台

CVE 参考编号 类型 严重程度
CVE-2022-20265 A-212804898 EoP

系统

CVE 参考编号 类型 严重程度
CVE-2022-20283 A-233069336 RCE 严重
CVE-2022-20362 A-230756082 RCE 严重
CVE-2022-20292 A-202975040 EoP
CVE-2022-20297 A-201561699 EoP
CVE-2022-20330 A-181962588 EoP
CVE-2021-0518 A-176541017 ID
CVE-2022-20245 A-215005011 ID
CVE-2022-20259 A-221431393 ID
CVE-2022-20284 A-231986341 ID
CVE-2022-20326 A-185235527 ID
CVE-2022-20327 A-185126813 ID
CVE-2022-20339 A-171572148 ID
CVE-2022-20244 A-201083240 EoP
CVE-2022-20248 A-227619193 EoP
CVE-2022-20254 A-223377547 EoP
CVE-2022-20256 A-222572821 EoP
CVE-2022-20257 A-222289114 EoP
CVE-2022-20258 A-221893030 EoP
CVE-2022-20267 A-211646835 EoP
CVE-2022-20269 A-209062898 EoP
CVE-2022-20274 A-206470146 EoP
CVE-2022-20286 A-230866011 EoP
CVE-2022-20306 A-199680794 EoP
CVE-2022-20313 A-192206329 EoP
CVE-2022-20314 A-191876118 EoP
CVE-2022-20329 A-183410556 EoP
CVE-2022-20335 A-178014725 EoP
CVE-2022-20241 A-217185011 ID
CVE-2022-20242 A-231986212 ID
CVE-2022-20251 A-225881167 ID
CVE-2022-20261 A-219835125 ID
CVE-2022-20273 A-206478022 ID
CVE-2022-20280 A-204117261 ID
CVE-2022-20310 A-192663798 ID
CVE-2022-20311 A-192663553 ID
CVE-2022-20340 A-166269532 ID
CVE-2022-20342 A-143534321 ID
CVE-2022-20253 A-224545125 DoS
CVE-2022-20308 A-197874458 DoS
CVE-2022-20333 A-179161657 DoS
CVE-2022-20334 A-178800552 DoS

常见问题和解答

这一部分解答了用户在阅读本公告后可能会提出的常见问题。

1. 如何确定我的设备是否已通过更新解决了这些问题?

如需了解如何查看设备的安全补丁级别,请参阅查看和更新 Android 版本

在 AOSP 上发布的 Android 13 的默认安全补丁级别为 2022-09-01。如果搭载 Android 13 的 Android 设备的安全补丁级别是 2022-09-01 或更新,则意味着已解决这些安全性版本说明中包含的所有问题。

2. “类型”列中的条目表示什么意思?

在漏洞详情表内,“类型”列中的条目是安全漏洞的分类。

缩写词 定义
RCE 远程代码执行
EoP 提权
ID 信息披露
DoS 拒绝服务攻击
不适用 没有分类

3. “参考编号”列中的条目表示什么意思?

在漏洞详情表内,“参考编号”列中的条目可能包含用于标识参考编号值所属组织的前缀。

前缀 参考编号
A- Android bug ID

版本

版本 日期 备注
1.0 2022 年 7 月 25 日 发布了安全性版本说明
1.1 2022 年 8 月 8 日 更新了问题列表
1.2 2022 年 9 月 21 日 更新了问题列表
1.3 2022 年 10 月 11 日 更新了问题列表
1.4 2022 年 3 月 28 日 更新了问题列表