Дата публикации: 7 августа 2023 г.
В этом бюллетене по безопасности содержится информация об уязвимостях в защите платформы Wear OS. В полном пакете обновления Wear OS устранены все перечисленные здесь проблемы. В него также входит исправление системы безопасности 2023-08-05 или более новое (см. бюллетень по безопасности Android за август 2023 г.).
Мы рекомендуем установить его всем пользователям.
Самая серьезная из проблем – уязвимость высокого уровня в компоненте Framework, которая позволяет злоумышленнику, не обладающему дополнительными правами на выполнение кода, локально повышать привилегии без взаимодействия с пользователем. Уровень серьезности зависит от того, какой ущерб будет нанесен устройству, если злоумышленник воспользуется уязвимостью и сможет обойти средства защиты или их отключит разработчик.
Объявления
- Помимо исправлений уязвимостей, описанных в бюллетене по безопасности Android за август 2023 года, бюллетень по безопасности Wear OS за август 2023 года содержит исправления проблем, перечисленных ниже.
Описание уязвимостей (исправление системы безопасности 2023-08-01)
В этом разделе вы найдете подробную информацию обо всех уязвимостях, устраненных в исправлении системы безопасности 2023-08-01. Проблемы сгруппированы по компонентам, которые они затрагивают. Для каждого случая приведена таблица, где указаны идентификаторы CVE, ссылки, тип уязвимости, уровень серьезности и, если применимо, версии AOSP. Где возможно, мы добавляем к идентификатору ошибки ссылку на опубликованное изменение (например, список AOSP). Если опубликованных изменений несколько, дополнительные ссылки указаны в квадратных скобках. Устройства с Android 10 или более поздней версией ОС могут получать обновления системы безопасности, а также обновления системы через Google Play.
Framework
Указанная ниже уязвимость позволяет злоумышленнику, не обладающему дополнительными правами на выполнение кода, локально повышать привилегии без взаимодействия с пользователем.| CVE | Ссылки | Тип | Уровень серьезности | Обновленные версии AOSP |
|---|---|---|---|---|
| CVE-2023-21229 | A-265431830 | EoP | Высокий | 11, 13 |
Платформа
Эта уязвимость позволяет злоумышленнику, не обладающему дополнительными правами на выполнение кода, локально раскрывать информацию без взаимодействия с пользователем.| CVE | Ссылки | Тип | Уровень серьезности | Обновленные версии AOSP |
|---|---|---|---|---|
| CVE-2023-21230 | A-191680486 | ID | Высокий | 11, 13 |
Система
Самая серьезная уязвимость позволяет злоумышленнику, не обладающему дополнительными правами на выполнение кода, локально повышать привилегии без взаимодействия с пользователем.| CVE | Ссылки | Тип | Уровень серьезности | Обновленные версии AOSP |
|---|---|---|---|---|
| CVE-2023-21231 | A-187307530 | EoP | Высокий | 13 |
| CVE-2023-21234 | A-260859883 | EoP | Высокий | 11, 13 |
| CVE-2023-21235 | A-133761964 | EoP | Высокий | 11, 13 |
| CVE-2023-35689 | A-265474852 | EoP | Высокий | 11, 13 |
| CVE-2023-21232 | A-267251033 | ID | Высокий | 11, 13 |
| CVE-2023-21233 | A-261073851 | ID | Высокий | 11 |
Часто задаваемые вопросы
В этом разделе мы отвечаем на вопросы, которые могут возникнуть после прочтения бюллетеня.
1. Как определить, установлено ли на устройстве обновление, в котором устранены перечисленные проблемы?
Информацию о том, как проверить уровень исправления системы безопасности на устройстве, можно найти в статье о сроках обновления ПО.
- В исправлении 2023-08-01 и более поздних устранены все проблемы, соответствующие исправлению системы безопасности 2023-08-01.
В обновлении системы через Google Play для некоторых устройств с Android 10 или более поздней версией ОС будет указана дата, совпадающая с датой исправления 2023-08-01. Подробнее о том, как установить обновления безопасности Android…
2. Что означают сокращения в столбце Тип?
В этом столбце указан тип уязвимости по следующей классификации:
| Сокращение | Описание |
|---|---|
| RCE | Удаленное выполнение кода |
| EoP | Повышение уровня привилегий |
| ID | Раскрытие информации |
| DoS | Отказ в обслуживании |
| Н/Д | Классификация недоступна |
3. Что означает информация в столбце Ссылки?
Число в столбце Ссылки – это идентификатор уязвимости, а префикс указывает на источник ссылки (организацию).
| Префикс | Значение |
|---|---|
| A- | Идентификатор ошибки Android |
| QC- | Ссылочный номер Qualcomm |
| M- | Ссылочный номер MediaTek |
| N- | Ссылочный номер NVIDIA |
| B- | Ссылочный номер Broadcom |
| U- | Ссылочный номер UNISOC |
Версии
| Версия | Дата | Примечания |
|---|---|---|
| 1.0 | 7 августа 2023 г. | Бюллетень опубликован. |