گوگل برای ماه دسامبر ، 94 آسیب پذیری رو در اندروید اصلاح کرده. همه آسیب پذیری ها شدت بالا دارن به غیر از 5 موردشون که شدت بحرانی دارن. گوگل در بروزرسانی این ماه، موردی رو بعنوان زیرودی مشخص نکرده.
قبل از اینکه آسیب پذیری ها رو بررسی کنیم چند نکته مهم در خصوص بروزرسانی رو بررسی کنیم :
- مورد اول اینکه ، گوگل جزییات زیادی در خصوص آسیب پذیری ها ،منتشر نمیکنه تا کاربران فرصت کافی برای بروزرسانی و ایمن کردن دستگاهشون داشته باشن.
- مورد دوم هم اینکه اگه از اندروید 10 و پایینتر استفاده میکنید، به دلیل اینکه این نسخه ها، به پایان عمرشون رسیدن ، دیگه توسط گوگل پشتیبانی نمیشن و بنابراین این بروزرسانی ها برای دستگاه شما اعمال نمیشه.
- برای بروزرسانی میتونید از یکی از روش های زیر استفاده کنید:
- Settings → System → System Update → Check for updates
- Settings → Security&Privacy → Updates → Security update
- اگه از نسخه های 10 و پایینتر استفاده میکنید ، میتونید از توزیعهای Third-Party Android مانند LineageOS استفاده کنید.
- نوع آسیب پذیری ها رو هم میتونید از جدول زیر مشاهده کنید :
- RCE : مشخص کننده آسیب پذیری های اجرای کد از راه دور
- EoP : مشخص کننده آسیب پذیری های افزایش امتیاز
- ID : مشخص کننده آسیب پذیری های افشای اطلاعات
- DoS : مشخص کننده آسیب پذیری های منع سرویس
- N/A : مشخص کننده آسیب پذیری هایی که دسته بندیشون در دسترس نیست.
آسیب پذیری بخش Framework :
شدیدترین آسیب پذیری ها در این بخش منجر به افزایش امتیاز از راه دور بدون نیاز به امتیاز اجرایی اضافی و تعامل کاربر میشه.
| CVE | References | Type | Severity | Updated AOSP versions |
|---|---|---|---|---|
| CVE-2023-40077 | A-298057702 | EoP | Critical | 11, 12, 12L, 13, 14 |
| CVE-2023-40076 | A-303835719 | ID | Critical | 14 |
| CVE-2023-40079 | A-278722815 | EoP | High | 14 |
| CVE-2023-40089 | A-294228721 | EoP | High | 14 |
| CVE-2023-40091 | A-283699145 | EoP | High | 11, 12, 12L, 13, 14 |
| CVE-2023-40094 | A-288896339 | EoP | High | 11, 12, 12L, 13, 14 |
| CVE-2023-40095 | A-273729172 | EoP | High | 11, 12, 12L, 13, 14 |
| CVE-2023-40096 | A-268724205 | EoP | High | 11, 12, 12L, 13, 14 |
| CVE-2023-40103 | A-197260547 | EoP | High | 14 |
| CVE-2023-45774 | A-288113797 | EoP | High | 11, 12, 12L, 13, 14 |
| CVE-2023-45777 | A-299930871 | EoP | High | 13, 14 |
| CVE-2023-21267 | A-218495634 | ID | High | 11, 12, 12L, 13, 14 |
| CVE-2023-40073 | A-287640400 | ID | High | 11, 12, 12L, 13, 14 |
| CVE-2023-40081 | A-284297452 | ID | High | 11, 12, 12L, 13, 14 |
| CVE-2023-40092 | A-288110451 | ID | High | 11, 12, 12L, 13, 14 |
| CVE-2023-40074 | A-247513680 | DoS | High | 11, 12, 12L, 13 |
| CVE-2023-40075 | A-281061287 | DoS | High | 11, 12, 12L, 13, 14 |
آسیب پذیری بخش System :
شدیدترین آسیب پذیری ها در این بخش منجر به اجرای کد از راه دور (proximal/adjacent) بدون نیاز به امتیاز اجرایی اضافی و تعامل کاربر میشه. آسیب پذیری CVE-2023-40088 یه آسیب پذیری zero-click اجرای کد هستش.
| CVE | References | Type | Severity | Updated AOSP versions |
|---|---|---|---|---|
| CVE-2023-40088 | A-291500341 | RCE | Critical | 11, 12, 12L, 13, 14 |
| CVE-2023-40078 | A-275626001 | EoP | High | 14 |
| CVE-2023-40080 | A-275057843 | EoP | High | 13, 14 |
| CVE-2023-40082 | A-290909089 | EoP | High | 14 |
| CVE-2023-40084 | A-272382770 | EoP | High | 11, 12, 12L, 13, 14 |
| CVE-2023-40087 | A-275895309 | EoP | High | 11, 12, 12L, 13, 14 |
| CVE-2023-40090 | A-274478807 | EoP | High | 11, 12, 12L, 13, 14 |
| CVE-2023-40097 | A-295334906 | EoP | High | 11, 12, 12L, 13 |
| CVE-2023-45773 | A-275057847 | EoP | High | 13, 14 |
| CVE-2023-45775 | A-275340684 | EoP | High | 14 |
| CVE-2023-45776 | A-282234870 | EoP | High | 14 |
| CVE-2023-21394 | A-296915211 | ID | High | 11, 12, 12L, 13 |
| CVE-2023-35668 | A-283962802 | ID | High | 11, 12, 12L, 13 |
| CVE-2023-40083 | A-277590580 | ID | High | 12, 12L, 13, 14 |
| CVE-2023-40098 | A-288896269 | ID | High | 12, 12L, 13, 14 |
| CVE-2023-45781 | A-275553827 | ID | High | 12, 12L, 13, 14 |
آسیب پذیری زیر هم منجر به افزایش امتیاز از راه دور (proximal/adjacent) بدون نیاز به امتیاز اجرایی اضافی و تعامل کاربر میشه.
| CVE | References | Type | Severity | Updated AOSP versions |
|---|---|---|---|---|
| CVE-2023-45866 | A-294854926 | EoP | Critical | 11, 12, 12L, 13, 14 |
آسیب پذیری بخش ARM:
این آسیب پذیری ها روی مولفه های ARM تاثیر میزارن و شدت و جزییات اونارو کمپانی ARM ارائه میده.
| CVE | References | Severity | Subcomponent |
|---|---|---|---|
| CVE-2023-3889 | A-295942985 * | High | Mali |
| CVE-2023-4272 | A-296910715 * | High | Mali |
| CVE-2023-32804 | A-272772567 * | High | Mali |
آسیب پذیری بخش Imagination Technologies :
این آسیب پذیری ها روی مولفه های Imagination Technologies تاثیر میزارن و شدت و جزییات اونارو کمپانی Imagination Technologies ارائه میده.
| CVE | References | Severity | Subcomponent |
|---|---|---|---|
| CVE-2023-21162 | A-292004168 * | High | PowerVR-GPU |
| CVE-2023-21163 | A-292003338 * | High | PowerVR-GPU |
| CVE-2023-21164 | A-292002918 * | High | PowerVR-GPU |
| CVE-2023-21166 | A-292002163 * | High | PowerVR-GPU |
| CVE-2023-21215 | A-291982610 * | High | PowerVR-GPU |
| CVE-2023-21216 | A-291999952 * | High | PowerVR-GPU |
| CVE-2023-21217 | A-292087506 * | High | PowerVR-GPU |
| CVE-2023-21218 | A-292000190 * | High | PowerVR-GPU |
| CVE-2023-21228 | A-291999439 * | High | PowerVR-GPU |
| CVE-2023-21263 | A-305095406 * | High | PowerVR-GPU |
| CVE-2023-21401 | A-305091236 * | High | PowerVR-GPU |
| CVE-2023-21402 | A-305093885 * | High | PowerVR-GPU |
| CVE-2023-21403 | A-305096969 * | High | PowerVR-GPU |
| CVE-2023-35690 | A-305095935 * | High | PowerVR-GPU |
| CVE-2023-21227 | A-291998937 * | High | PowerVR-GPU |
آسیب پذیری بخش MediaTek :
این آسیب پذیری ها روی مولفه های MediaTek تاثیر میزارن و شدت و جزییات اونارو کمپانی MediaTek ارائه میده.
| CVE | References | Severity | Subcomponent |
|---|---|---|---|
| CVE-2023-32818 | A-294770901 M-ALPS08013430, M-ALPS08163896 * |
High | vdec |
| CVE-2023-32847 | A-302982512 M-ALPS08241940 * |
High | audio |
| CVE-2023-32848 | A-302982513 M-ALPS08163896 * |
High | vdec |
| CVE-2023-32850 | A-302983201 M-ALPS08016659 * |
High | decoder |
| CVE-2023-32851 | A-302986375 M-ALPS08016652 * |
High | decoder |
آسیب پذیری بخش Misc OEM :
این آسیب پذیری ها روی مولفه های Misc OEM تاثیر میزارن و شدت و جزییات اونارو کمپانی Misc OEM ارائه میده.
| CVE | References | Severity | Subcomponent |
|---|---|---|---|
| CVE-2023-45779 | A-301094654 * | High | System UI |
آسیب پذیری بخش Unisoc :
این آسیب پذیری ها روی مولفه های Unisoc تاثیر میزارن و شدت و جزییات اونارو کمپانی Unisoc ارائه میده.
| CVE | References | Severity | Subcomponent |
|---|---|---|---|
| CVE-2022-48456 | A-300376910 U-1914157 * |
High | Kernel |
| CVE-2022-48461 | A-300368868 U-1905646 * |
High | Kernel |
| CVE-2022-48454 | A-300382178 U-2220123 * |
High | Android |
| CVE-2022-48455 | A-300385151 U-2220123 * |
High | Android |
| CVE-2022-48457 | A-300368872 U-2161952 * |
High | Android |
| CVE-2022-48458 | A-300368874 U-2161952 * |
High | Android |
| CVE-2022-48459 | A-300368875 U-2161952 * |
High | Android |
آسیب پذیری بخش Qualcomm :
این آسیب پذیری ها روی مولفه های Qualcomm تاثیر میزارن و شدت و جزییات اونارو کمپانی Qualcomm ارائه میده.
| CVE | References | Severity | Subcomponent |
|---|---|---|---|
| CVE-2023-28588 | A-285902729 QC-CR#3417458 |
High | Bluetooth |
| CVE-2023-33053 | A-299146326 QC-CR#3453941 |
High | Kernel |
| CVE-2023-33063 | A-266568298 QC-CR#3447219 [2] |
High | Kernel |
| CVE-2023-33079 | A-299146464 QC-CR#3446191 |
High | Audio |
| CVE-2023-33087 | A-299146536 QC-CR#3508356 [2] |
High | Kernel |
| CVE-2023-33092 | A-299146537 QC-CR#3507292 |
High | Bluetooth |
| CVE-2023-33106 | A-300941008 QC-CR#3612841 |
High | Display |
| CVE-2023-33107 | A-299649795 QC-CR#3611296 |
High | Display |
آسیب پذیری بخش Qualcomm closed-source :
این آسیب پذیری ها روی مولفه های Qualcomm closed-source تاثیر میزارن و شدت و جزییات اونارو کمپانی Qualcomm ارائه میده.
| CVE | References | Severity | Subcomponent |
|---|---|---|---|
| CVE-2022-40507 | A-261468680 * | Critical | Closed-source component |
| CVE-2022-22076 | A-261469325 * | High | Closed-source component |
| CVE-2023-21652 | A-268059928 * | High | Closed-source component |
| CVE-2023-21662 | A-271879599 * | High | Closed-source component |
| CVE-2023-21664 | A-271879160 * | High | Closed-source component |
| CVE-2023-28546 | A-285902568 * | High | Closed-source component |
| CVE-2023-28550 | A-280341535 * | High | Closed-source component |
| CVE-2023-28551 | A-280341572 * | High | Closed-source component |
| CVE-2023-28585 | A-285902652 * | High | Closed-source component |
| CVE-2023-28586 | A-285903022 * | High | Closed-source component |
| CVE-2023-28587 | A-285903202 * | High | Closed-source component |
| CVE-2023-33017 | A-285902412 * | High | Closed-source component |
| CVE-2023-33018 | A-285902728 * | High | Closed-source component |
| CVE-2023-33022 | A-285903201 * | High | Closed-source component |
| CVE-2023-33054 | A-295020170 * | High | Closed-source component |
| CVE-2023-33080 | A-299147105 * | High | Closed-source component |
| CVE-2023-33081 | A-299145668 * | High | Closed-source component |
| CVE-2023-33088 | A-299146964 * | High | Closed-source component |
| CVE-2023-33089 | A-299146027 * | High | Closed-source component |
| CVE-2023-33097 | A-299147106 * | High | Closed-source component |
| CVE-2023-33098 | A-299146466 * | High | Closed-source component |