گوگل بروزرسانی مارس 2023 برای اندروید منتشر کرده و در اون به اصلاح 60 آسیب پذیری پرداخته. همه آسیب پذیری ها شدت بالا دارن به غیر از 4 موردشون که شدت بحرانی داره. از بحرانی ها هم 2 موردش برای Qualcomm closed-source هستش.
قبل از اینکه آسیب پذیری ها رو معرفی کنیم چند تا نکته ضروری هستش :
مورد اول اینکه ، گوگل جزییات زیادی در خصوص آسیب پذیری ها منتشر نمیکنه تا کاربران فرصت کافی برای بروزرسانی و ایمن کردن دستگاهشون داشته باشن.
مورد دوم هم اینکه اگه از اندروید 10 و پایینتر استفاده میکنید، به دلیل اینکه این نسخه ها، به پایان عمرشون رسیدن ، دیگه توسط گوگل پشتیبانی نمیشن و بنابراین این بروزرسانی ها برای دستگاه شما اعمال نمیشه. البته بروزرسانی های Google Play میتونید دریافت کنید.
برای بروزرسانی میتونید از یکی از روش های زیر استفاده کنید:
|
1 |
Settings → System → System Update → Check for updates |
|
1 |
Settings → Security&Privacy → Updates → Security update |
برای بروزرسانی Google Play هم میتونید از این مسیر اقدام کنید:
|
1 |
Settings → Security & privacy → Updates → Google Play system update |
اگه از نسخه های 10 و پایینتر استفاده میکنید ، میتونید از توزیعهای third-party Android مانند LineageOS استفاده کنید.
آسیب پذیری های بخش Framework :
در این بخش شدیدترین آسیب پذیری ها منجر به افزایش امتیاز محلی میشه. بعد اینکه یه اپ به یه Target SDK بالاتر بروزرسانی شد، این آسیب پذیری ها رخ میدن. برای اکسپلویت هم نیاز به تعامل کاربر یا امتیاز خاصی نیست.
| CVE | Type | Severity | Updated AOSP versions |
|---|---|---|---|
| CVE-2023-20906 | افزایش امتیاز | High | 11, 12, 12L, 13 |
| CVE-2023-20911 | افزایش امتیاز | High | 11, 12, 12L, 13 |
| CVE-2023-20917 | افزایش امتیاز | High | 11, 12, 12L, 13 |
| CVE-2023-20947 | افزایش امتیاز | High | 12, 12L, 13 |
| CVE-2023-20963 | افزایش امتیاز | High | 11, 12, 12L, 13 |
| CVE-2023-20956 | افشای اطلاعات | High | 12, 12L, 13 |
| CVE-2023-20958 | افشای اطلاعات | High | 13 |
| CVE-2023-20964 | DoS | High | 12, 12L, 13 |
آسیب پذیری های بخش System:
شدیدترین آسیب پذیری ها در این بخش منجر به اجرای کد از راه دور میشه. برای اکسپلویت نیاز به تعامل کاربر یا امتیاز خاصی نیست.
| CVE | Type | Severity | Updated AOSP versions |
|---|---|---|---|
| CVE-2023-20951 | اجرای کد از راه دور | Critical | 11, 12, 12L, 13 |
| CVE-2023-20954 | اجرای کد از راه دور | Critical | 11, 12, 12L, 13 |
| CVE-2023-20926 | افزایش امتیاز | High | 12, 12L, 13 |
| CVE-2023-20931 | افزایش امتیاز | High | 11, 12, 12L, 13 |
| CVE-2023-20936 | افزایش امتیاز | High | 11, 12, 12L, 13 |
| CVE-2023-20953 | افزایش امتیاز | High | 13 |
| CVE-2023-20955 | افزایش امتیاز | High | 11, 12, 12L, 13 |
| CVE-2023-20957 | افزایش امتیاز | High | 11, 12, 12L |
| CVE-2023-20959 | افزایش امتیاز | High | 13 |
| CVE-2023-20960 | افزایش امتیاز | High | 12L, 13 |
| CVE-2023-20966 | افزایش امتیاز | High | 11, 12, 12L, 13 |
| CVE-2022-4452 | افشای اطلاعات | High | 13 |
| CVE-2022-20467 | افشای اطلاعات | High | 11, 12, 12L, 13 |
| CVE-2023-20929 | افشای اطلاعات | High | 13 |
| CVE-2023-20952 | افشای اطلاعات | High | 11, 12, 12L, 13 |
| CVE-2023-20962 | افشای اطلاعات | High | 13 |
| CVE-2022-20499 | DoS | High | 12, 12L, 13 |
| CVE-2023-20910 | DoS | High | 11, 12, 12L, 13 |
بخش Google Play system updates:
در این بخش هم آسیب پذیری های زیر رو داریم :
| Subcomponent | CVE |
|---|---|
| Media Codecs | CVE-2023-20956 |
| Permission Controller | CVE-2023-20947 |
| Tethering | CVE-2023-20929 |
| WiFi | CVE-2022-20499, CVE-2023-20910 |
بخش Kernel:
آسیب پذیری امکان افزایش امتیاز محلی رو بدون نیاز به تعامل کاربر یا امتیاز خاصی رو میده.
| CVE | Type | Severity | Subcomponent |
|---|---|---|---|
| CVE-2021-33655 | افزایش امتیاز | High | Frame Buffer |
آسیب پذیری روی مولفه های شخص ثالث:
در ادامه گزارش آسیب پذیری ها ، گوگل یسری آسیب پذیری که روی مولفه های شخص ثالث تاثیر گذاشته و گزارش شده رو هم منتشر کرده.
آسیب پذیری های بخش MediaTek :
آسیب پذیری های زیر روی مولفه های MediaTek تاثیر میزاره و شدت و جزییات اون توسط MediaTek ارائه شده.
| CVE | Severity | Subcomponent |
|---|---|---|
| CVE-2023-20620 | High | adsp |
| CVE-2023-20621 | High | tinysys |
| CVE-2023-20623 | High | ion |
بخش Unisoc :
آسیب پذیری های زیر روی مولفه های Unisoc تاثیر میازره و شدت و جزییات اون توسط Unisoc ارائه شده.
| CVE | Severity | Subcomponent |
|---|---|---|
| CVE-2022-47459 | High | Kernel |
| CVE-2022-47461 | High | system |
| CVE-2022-47462 | High | system |
| CVE-2022-47460 | High | Kernel |
بخش Qualcomm :
آسیب پذیری های زیر روی مولفه های Qualcomm تاثیر میازره و شدت و جزییات اون توسط Qualcomm ارائه شده.
| CVE | Severity | Subcomponent |
|---|---|---|
| CVE-2022-22075 | High | Display |
| CVE-2022-40537 | High | Bluetooth |
| CVE-2022-40540 | High | Kernel |
بخش Qualcomm closed-source :
آسیب پذیری های زیر روی مولفه های Qualcomm closed-source تاثیر میازره و شدت و جزییات اون توسط Qualcomm closed-source ارائه شده.
| CVE | Severity | Subcomponent |
|---|---|---|
| CVE-2022-33213 | Critical | Closed-source component |
| CVE-2022-33256 | Critical | Closed-source component |
| CVE-2022-25655 | High | Closed-source component |
| CVE-2022-25694 | High | Closed-source component |
| CVE-2022-25705 | High | Closed-source component |
| CVE-2022-25709 | High | Closed-source component |
| CVE-2022-33242 | High | Closed-source component |
| CVE-2022-33244 | High | Closed-source component |
| CVE-2022-33250 | High | Closed-source component |
| CVE-2022-33254 | High | Closed-source component |
| CVE-2022-33272 | High | Closed-source component |
| CVE-2022-33278 | High | Closed-source component |
| CVE-2022-33309 | High | Closed-source component |
| CVE-2022-40515 | High | Closed-source component |
| CVE-2022-40527 | High | Closed-source component |
| CVE-2022-40530 | High | Closed-source component |
| CVE-2022-40531 | High | Closed-source component |
| CVE-2022-40535 | High | Closed-source component |