В этом бюллетене по безопасности содержится информация об уязвимостях в защите устройств Android. Все перечисленные проблемы устранены в исправлении 2022-12-05 или более новом. Сведения о том, как проверить уровень исправления системы безопасности на устройстве, можно найти в статье об обновлении версии Android.
Мы сообщаем партнерам Android обо всех проблемах по крайней мере за месяц до выхода бюллетеня. Исходный код исправлений будет добавлен в хранилище Android Open Source Project (AOSP) в течение 48 часов. Ссылки на AOSP появятся в этом бюллетене позже.
Самая серьезная из проблем – критическая уязвимость в компоненте "Система", которая позволяет злоумышленнику, не обладающему дополнительными правами на выполнение, удаленно выполнять код по Bluetooth. Уровень серьезности зависит от того, какой ущерб может быть нанесен устройству при атаке с использованием уязвимости, если средства защиты будут отключены в целях разработки или их обойдет злоумышленник.
Сведения о том, как платформа безопасности Android и Google Play Защита помогают снизить вероятность использования уязвимостей Android, можно найти в разделе Предотвращение атак.
Предотвращение атак
Здесь описано, как платформа безопасности Android и средства защиты сервисов, например Google Play Защита, помогают снизить вероятность использования уязвимостей Android.
- В новых версиях Android сложнее использовать многие уязвимости, поэтому мы рекомендуем всем своевременно обновлять систему.
- Команда, отвечающая за безопасность Android, активно отслеживает случаи злоупотребления с помощью Google Play Защиты и предупреждает пользователей об установке потенциально опасных приложений. Google Play Защита по умолчанию включена на телефонах и планшетах, использующих сервисы Google для мобильных устройств. Она особенно важна для тех, кто устанавливает приложения не из Google Play.
Описание уязвимостей (исправление системы безопасности 2022-12-01)
В этом разделе вы найдете подробную информацию обо всех уязвимостях, устраненных в исправлении системы безопасности 2022-12-01. Проблемы сгруппированы по компонентам, которые они затрагивают. Для каждого случая приведены описание и таблица, где указаны идентификаторы CVE, ссылки, тип уязвимости, уровень серьезности и, если применимо, версии AOSP. Где возможно, мы добавляем к идентификатору ошибки ссылку на опубликованное изменение (например, список AOSP). Когда к одной ошибке относится несколько изменений, дополнительные ссылки приводятся в квадратных скобках. Устройства с Android 10 или более поздней версией ОС могут получать обновления системы безопасности, а также обновления системы через Google Play.
Android Runtime
Эта уязвимость позволяет злоумышленнику, не обладающему дополнительными правами на выполнение кода, локально раскрывать информацию.
| CVE | Ссылки | Тип | Уровень серьезности | Обновленные версии AOSP |
|---|---|---|---|---|
| CVE-2022-20502 | A-222166527 | ID | Высокий | 13 |
Framework
Самая серьезная уязвимость позволяет злоумышленнику, не обладающему дополнительными правами, удаленно выполнять код.
| CVE | Ссылки | Тип | Уровень серьезности | Обновленные версии AOSP |
|---|---|---|---|---|
| CVE-2022-20472 | A-239210579 | RCE | Критический | 10, 11, 12, 12L, 13 |
| CVE-2022-20473 | A-239267173 | RCE | Критический | 10, 11, 12, 12L, 13 |
| CVE-2021-39795 | A-201667614 | EoP | Высокий | 11, 12, 12L, 13 |
| CVE-2022-20124 | A-170646036 | EoP | Высокий | 10, 11, 12, 12L, 13 |
| CVE-2022-20442 | A-176094367 | EoP | Высокий | 10, 11, 12, 12L |
| CVE-2022-20470 | A-234013191 | EoP | Высокий | 10, 11, 12, 12L, 13 |
| CVE-2022-20474 | A-240138294 [2] | EoP | Высокий | 10, 11, 12, 12L, 13 |
| CVE-2022-20475 | A-240663194 | EoP | Высокий | 11, 12, 12L, 13 |
| CVE-2022-20477 | A-241611867 | EoP | Высокий | 13 |
| CVE-2022-20485 | A-242702935 [2] | EoP | Высокий | 10, 11, 12, 12L, 13 |
| CVE-2022-20486 | A-242703118 [2] | EoP | Высокий | 10, 11, 12, 12L, 13 |
| CVE-2022-20491 | A-242703556 [2] | EoP | Высокий | 10, 11, 12, 12L, 13 |
| CVE-2022-20611 | A-242996180 | EoP | Высокий | 10, 11, 12, 12L, 13 |
| CVE-2021-0934 | A-169762606 | DoS | Высокий | 10, 11, 12, 12L, 13 |
| CVE-2022-20449 | A-239701237 | DoS | Высокий | 10, 11, 12, 12L, 13 |
| CVE-2022-20476 | A-240936919 | DoS | Высокий | 10, 11, 12, 12L |
| CVE-2022-20482 | A-240422263 | DoS | Высокий | 12, 12L, 13 |
| CVE-2022-20500 | A-246540168 | DoS | Высокий | 10, 11, 12, 12L, 13 |
Media Framework
Эта уязвимость позволяет злоумышленнику, не обладающему дополнительными правами на выполнение кода, локально раскрывать информацию.
| CVE | Ссылки | Тип | Уровень серьезности | Обновленные версии AOSP |
|---|---|---|---|---|
| CVE-2022-20496 | A-245242273 | ID | Высокий | 12, 12L, 13 |
Система
Самая серьезная уязвимость позволяет злоумышленнику, не обладающему дополнительными правами, удаленно выполнять код по Bluetooth.
| CVE | Ссылки | Тип | Уровень серьезности | Обновленные версии AOSP |
|---|---|---|---|---|
| CVE-2022-20411 | A-232023771 [2] | RCE | Критический | 10, 11, 12, 12L, 13 |
| CVE-2022-20498 | A-246465319 | ID | Критический | 10, 11, 12, 12L, 13 |
| CVE-2022-20469 | A-230867224 | RCE | Высокий | 10, 11, 12, 12L, 13 |
| CVE-2022-20144 | A-187702830 [2] | EoP | Высокий | 10, 11, 12, 12L, 13 |
| CVE-2022-20240 | A-231496105 [2] [3] [4] | EoP | Высокий | 12, 12L |
| CVE-2022-20478 | A-241764135 [2] | EoP | Высокий | 10, 11, 12, 12L, 13 |
| CVE-2022-20479 | A-241764340 [2] | EoP | Высокий | 10, 11, 12, 12L, 13 |
| CVE-2022-20480 | A-241764350 [2] | EoP | Высокий | 10, 11, 12, 12L, 13 |
| CVE-2022-20484 | A-242702851 [2] | EoP | Высокий | 10, 11, 12, 12L, 13 |
| CVE-2022-20487 | A-242703202 [2] | EoP | Высокий | 10, 11, 12, 12L, 13 |
| CVE-2022-20488 | A-242703217 [2] | EoP | Высокий | 10, 11, 12, 12L, 13 |
| CVE-2022-20495 | A-243849844 | EoP | Высокий | 10, 11, 12, 12L, 13 |
| CVE-2022-20501 | A-246933359 | EoP | Высокий | 10, 11, 12, 12L, 13 |
| CVE-2022-20466 | A-179725730 [2] | ID | Средний | 13 |
| ID | Высокий | 10, 11, 12, 12L | ||
| CVE-2022-20483 | A-242459126 | ID | Высокий | 10, 11, 12, 12L, 13 |
| CVE-2022-20497 | A-246301979 | ID | Высокий | 12, 12L, 13 |
| CVE-2022-20468 | A-228450451 | ID | Средний | 10, 11, 12, 12L, 13 |
Обновления системы через Google Play
Исправления указанных ниже уязвимостей включены в компоненты Project Mainline.
| Подкомпонент | CVE |
|---|---|
| MediaProvider | CVE-2021-39795 |
| Контроллер разрешений | CVE-2022-20442 |
Описание уязвимостей (исправление системы безопасности 2022-12-05)
В этом разделе вы найдете подробную информацию обо всех уязвимостях, устраненных в исправлении системы безопасности 2022-12-05. Проблемы сгруппированы по компонентам, которые они затрагивают. Для каждого случая приведены описание и таблица, где указаны идентификаторы CVE, ссылки, тип уязвимости, уровень серьезности и, если применимо, версии AOSP. Где возможно, мы добавляем к идентификатору ошибки ссылку на опубликованное изменение (например, список AOSP). Если таких изменений несколько, дополнительные ссылки указываются в квадратных скобках.
Ядро
Эта уязвимость позволяет злоумышленнику, не обладающему дополнительными правами на выполнение кода, локально раскрывать информацию.
| CVE | Ссылки | Тип | Уровень серьезности | Подкомпонент |
|---|---|---|---|---|
| CVE-2022-23960 |
A-215557547
Upstream kernel [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] [15] [16] [17] [18] [19] [20] [21] [22] [23] [24] [25] [26] |
ID | Высокий | Ядро |
Imagination Technologies
Эта уязвимость затрагивает компоненты Imagination Technologies. Подробную информацию можно получить от компании Imagination Technologies. Уровень серьезности этой проблемы определяется непосредственно компанией Imagination Technologies.
| CVE | Ссылки | Уровень серьезности | Подкомпонент | |
|---|---|---|---|---|
|
CVE-2021-39660 |
A-254742984 * | Высокий | Графический процессор PowerVR |
Компоненты MediaTek
Эти уязвимости затрагивают компоненты MediaTek. Подробную информацию можно получить от компании MediaTek. Уровень серьезности этих проблем определяется непосредственно компанией MediaTek.
| CVE | Ссылки | Уровень серьезности | Подкомпонент | |
|---|---|---|---|---|
|
CVE-2022-32594 |
A-250331397
M-ALPS07446207 * |
Высокий | widevine | |
|
CVE-2022-32596 |
A-250470698
M-ALPS07446213 * |
Высокий | widevine | |
|
CVE-2022-32597 |
A-250470696
M-ALPS07446228 * |
Высокий | widevine | |
|
CVE-2022-32598 |
A-250470697
M-ALPS07446228 * |
Высокий | widevine | |
|
CVE-2022-32619 |
A-250441021
M-ALPS07439659 * |
Высокий | keyinstall | |
|
CVE-2022-32620 |
A-250441023
M-ALPS07541753 * |
Высокий | mpu |
Компоненты Unisoc
Эти уязвимости затрагивают компоненты Unisoc. Подробную информацию можно получить от компании Unisoc. Уровень серьезности этих проблем определяется непосредственно компанией Unisoc.
| CVE | Ссылки | Уровень серьезности | Подкомпонент | |
|---|---|---|---|---|
|
CVE-2022-39106 |
A-252398972
U-1830881 * |
Высокий | Ядро | |
|
CVE-2022-39131 |
A-252950986
U-1914157 * |
Высокий | Ядро | |
|
CVE-2022-39132 |
A-252951342
U-1914157 * |
Высокий | Ядро | |
|
CVE-2022-39133 |
A-253957345
U-1946077 * |
Высокий | Ядро | |
|
CVE-2022-39134 |
A-253333208
U-1947682 * |
Высокий | Ядро | |
|
CVE-2022-42754 |
A-253344080
U-1967614 * |
Высокий | Ядро | |
|
CVE-2022-42755 |
A-253957344
U-1981296 * |
Высокий | Ядро | |
|
CVE-2022-42756 |
A-253337348
U-1967535 * |
Высокий | Ядро | |
|
CVE-2022-42770 |
A-253978051
U-1975103 * |
Высокий | Ядро | |
|
CVE-2022-42771 |
A-253978040
U-1946329 * |
Высокий | Ядро | |
|
CVE-2022-42772 |
A-253978054
U-1903041 * |
Высокий | Ядро | |
|
CVE-2022-39129 |
A-252943954
U-1957128 * |
Высокий | Ядро | |
|
CVE-2022-39130 |
A-252950982
U-1957128 * |
Высокий | Ядро |
Компоненты Qualcomm
Эта уязвимость затрагивает компоненты Qualcomm и подробно описана в бюллетене по безопасности или оповещении системы безопасности Qualcomm. Уровень серьезности этой проблемы определяется непосредственно компанией Qualcomm.
| CVE | Ссылки | Уровень серьезности | Подкомпонент | |
|---|---|---|---|---|
|
CVE-2022-33268 |
A-245992426
QC-CR#3182085 [2] |
Высокий | Bluetooth |
Компоненты Qualcomm с закрытым исходным кодом
Эти уязвимости затрагивают компоненты Qualcomm с закрытым исходным кодом и подробно описаны в бюллетенях по безопасности или в оповещениях системы безопасности Qualcomm. Уровень серьезности этих проблем определяется непосредственно компанией Qualcomm.
| CVE | Ссылки | Уровень серьезности | Подкомпонент | |
|---|---|---|---|---|
|
CVE-2022-25672 |
A-231156083 * | Высокий | Компонент с закрытым исходным кодом | |
|
CVE-2022-25673 |
A-235102693 * | Высокий | Компонент с закрытым исходным кодом | |
|
CVE-2022-25681 |
A-238106628 * | Высокий | Компонент с закрытым исходным кодом | |
|
CVE-2022-25682 |
A-238102293 * | Высокий | Компонент с закрытым исходным кодом | |
|
CVE-2022-25685 |
A-235102504 * | Высокий | Компонент с закрытым исходным кодом | |
|
CVE-2022-25689 |
A-235102546 * | Высокий | Компонент с закрытым исходным кодом | |
|
CVE-2022-25691 |
A-235102879 * | Высокий | Компонент с закрытым исходным кодом | |
|
CVE-2022-25692 |
A-235102506 * | Высокий | Компонент с закрытым исходным кодом | |
|
CVE-2022-25695 |
A-235102757 * | Высокий | Компонент с закрытым исходным кодом | |
|
CVE-2022-25697 |
A-235102692 * | Высокий | Компонент с закрытым исходным кодом | |
|
CVE-2022-25698 |
A-235102566 * | Высокий | Компонент с закрытым исходным кодом | |
|
CVE-2022-25702 |
A-235102898 * | Высокий | Компонент с закрытым исходным кодом | |
|
CVE-2022-33235 |
A-245402984 * | Высокий | Компонент с закрытым исходным кодом | |
|
CVE-2022-33238 |
A-245402341 * | Высокий | Компонент с закрытым исходным кодом |
Часто задаваемые вопросы
В этом разделе мы отвечаем на вопросы, которые могут возникнуть после прочтения бюллетеня.
1. Как определить, установлено ли на устройстве обновление, в котором устранены перечисленные проблемы?
Информацию о том, как проверить уровень исправления системы безопасности на устройстве, можно найти в статье об обновлении версии Android.
- В исправлении 2022-12-01 и более новых устранены все проблемы, соответствующие исправлению системы безопасности 2022-12-01.
- В исправлении 2022-12-05 и более новых устранены все проблемы, соответствующие исправлению системы безопасности 2022-12-05 и всем предыдущим исправлениям.
Производители устройств, позволяющие установить эти обновления, должны присвоить им один из следующих уровней:
- [ro.build.version.security_patch]:[2022-12-01]
- [ro.build.version.security_patch]:[2022-12-05]
В обновлении системы через Google Play для некоторых устройств с Android 10 или более поздней версией ОС будет указана дата, совпадающая с датой исправления 2022-12-01. Подробнее о том, как установить обновления системы безопасности…
2. Почему в этом бюллетене говорится о двух исправлениях системы безопасности?
Мы включили в этот бюллетень сведения о двух исправлениях, чтобы помочь нашим партнерам как можно скорее устранить уязвимости, затрагивающие все устройства Android. Рекомендуем партнерам Android решить все перечисленные выше проблемы и установить последнее исправление системы безопасности.
- На устройствах с установленным исправлением 2022-12-01 должны быть устранены все охваченные им проблемы, а также уязвимости, упомянутые в предыдущих выпусках бюллетеня.
- На устройствах с установленным исправлением 2022-12-05 или более новым должны быть решены все проблемы, описанные в этом бюллетене и предыдущих выпусках.
Рекомендуем партнерам собрать все исправления проблем в одно обновление.
3. Что означают сокращения в столбце Тип?
В этом столбце указан вид уязвимости по следующей классификации:
| Сокращение | Описание |
|---|---|
| RCE | Удаленное выполнение кода |
| EoP | Повышение привилегий |
| ID | Раскрытие информации |
| DoS | Отказ в обслуживании |
| Н/Д | Классификация недоступна |
4. Что означает информация в столбце Ссылки?
В таблицах с описанием уязвимостей есть столбец Ссылки. Каждая запись в нем может содержать префикс, указывающий на источник ссылки, а именно:
| Префикс | Значение |
|---|---|
| A- | Идентификатор ошибки Android |
| QC- | Ссылочный номер Qualcomm |
| M- | Ссылочный номер MediaTek |
| N- | Ссылочный номер NVIDIA |
| B- | Ссылочный номер Broadcom |
| U- | Ссылочный номер UNISOC |
5. Что означает символ * рядом с идентификатором ошибки Android в столбце Ссылки?
Символ * означает, что исправление для уязвимости не опубликовано. Необходимое обновление обычно содержится в последних исполняемых файлах драйверов для устройств Pixel. Их можно скачать с сайта Google Developers.
6. Почему одни уязвимости описываются в этих бюллетенях, а другие – в бюллетенях по безопасности устройств (например, Pixel) и бюллетенях партнеров?
Здесь описаны уязвимости, которые необходимо устранить для соответствия последнему уровню исправления Android. Решать дополнительные проблемы, перечисленные в бюллетенях по безопасности партнеров, для достижения уровня исправления необязательно. Некоторые производители, например Google, Huawei, LG, Motorola, Nokia и Samsung, также публикуют информацию о проблемах, связанных с безопасностью выпускаемых ими устройств Android и чипсетов.
Версии
| Версия | Дата | Примечания |
|---|---|---|
| 1.0 | 5 декабря 2022 г. | Бюллетень опубликован |
| 1.1 | 7 декабря 2022 г. | Добавлены ссылки на AOSP. |
| 2.0 | 7 декабря 2022 г. | Изменена таблица с идентификаторами CVE. |
| 3.0 | 21 марта 2023 г. | Изменена таблица с идентификаторами CVE. |