اصلاح 34 آسیب پذیری در بروزرسانی سپتامبر اندروید
گوگل برای ماه سپتامبر، 34 آسیب پذیری رو در اندروید اصلاح کرده. همه آسیب پذیری ها شدت بالا دارن به غیر از 4 موردشون که شدت بحرانی داره و این ماه یه زیرودی هم داریم.
قبل از اینکه آسیب پذیری ها رو بررسی کنیم چند تا نکته ضروری هستش :
- مورد اول اینکه ، گوگل جزییات زیادی در خصوص آسیب پذیری ها منتشر نمیکنه تا کاربران فرصت کافی برای بروزرسانی و ایمن کردن دستگاهشون داشته باشن.
- مورد دوم هم اینکه اگه از اندروید 10 و پایینتر استفاده میکنید، به دلیل اینکه این نسخه ها، به پایان عمرشون رسیدن ، دیگه توسط گوگل پشتیبانی نمیشن و بنابراین این بروزرسانی ها برای دستگاه شما اعمال نمیشه.
- برای بروزرسانی میتونید از یکی از روش های زیر استفاده کنید:
- Settings → System → System Update → Check for updates
- Settings → Security&Privacy → Updates → Security update
- اگه از نسخه های 10 و پایینتر استفاده میکنید ، میتونید از توزیعهای third-party Android مانند LineageOS استفاده کنید.
آسیب پذیری بخش Framework :
شدیدترین آسیب پذیری ها در این بخش منجر به افزایش امتیاز محلی بدون نیاز به تعامل کاربر و امتیاز اجرایی اضافی میشه.
| CVE | References | Type | Severity | Updated AOSP versions |
|---|---|---|---|---|
| CVE-2023-35669 | A-265798288 | EoP | High | 11, 12, 12L, 13 |
| CVE-2023-35674 | A-264029851 | EoP | High | 11, 12, 12L, 13 |
| CVE-2023-35676 | A-278720336 | EoP | High | 12, 12L, 13 |
| CVE-2023-35687 | A-245135112 | EoP | High | 11, 12, 12L, 13 |
| CVE-2023-35675 | A-284297711 | ID | High | 11, 12, 12L, 13 |
| CVE-2023-35679 | A-245137718 | ID | High | 11, 12, 12L, 13 |
آسیب پذیری CVE-2023-35674 به گفته گوگل زیرودی هستش و در حملاتی محدود و هدفمند ازش سوء استفاده شده.
آسیب پذیری بخش System :
شدیدترین آسیب پذیری ها در این بخش منجر به اجرای کد از راه دور بدون نیاز به تعامل کاربر و امتیاز اجرایی اضافی میشه.
| CVE | References | Type | Severity | Updated AOSP versions |
|---|---|---|---|---|
| CVE-2023-35658 | A-274617156 | RCE | Critical | 11, 12, 12L, 13 |
| CVE-2023-35673 | A-273966636 | RCE | Critical | 11, 12, 12L, 13 |
| CVE-2023-35681 | A-271335899 | RCE | Critical | 13 |
| CVE-2023-35665 | A-256819787 | EoP | High | 11, 12, 12L, 13 |
| CVE-2023-35666 | A-269253349 | EoP | High | 11, 12, 12L, 13 |
| CVE-2023-35667 | A-282932362 | EoP | High | 11, 12, 12L, 13 |
| CVE-2023-35670 | A-276898626 | EoP | High | 11, 12, 12L, 13 |
| CVE-2023-35682 | A-270152142 | EoP | High | 11, 12, 12L, 13 |
| CVE-2023-35684 | A-280633699 | EoP | High | 11, 12, 12L, 13 |
| CVE-2023-35664 | A-269270167 | ID | High | 12, 12L, 13 |
| CVE-2023-35671 | A-268038643 | ID | High | 11, 12, 12L, 13 |
| CVE-2023-35680 | A-256591023 | ID | High | 11, 12, 12L, 13 |
| CVE-2023-35683 | A-223793631 | ID | High | 11, 12, 12L, 13 |
| CVE-2023-35677 | A-280793427 | DoS | High | 11, 12, 12L, 13 |
آسیب پذیری های سیستم بروزرسانی Google Play :
آسیب پذیری های زیر در مولفه Project Mainline هم قرار گرفتن.
| Subcomponent | CVE |
|---|---|
| MediaProvider | CVE-2023-35670, CVE-2023-35683 |
آسیب پذیری بخش Qualcomm :
این آسیب پذیری ها روی مولفه های Qualcomm تاثیر میزارن و شدت و جزییات اونارو کمپانی Qualcomm ارائه میده.
آسیب پذیری بخش Qualcomm closed-source :
این آسیب پذیری ها روی مولفه های Qualcomm closed-source تاثیر میزارن و شدت و جزییات اونارو کمپانی Qualcomm ارائه میده.
| CVE | References | Severity | Subcomponent |
|---|---|---|---|
| CVE-2023-28581 | A-285902431 * | Critical | Closed-source component |
| CVE-2022-40534 | A-288580358 * | High | Closed-source component |
| CVE-2023-21646 | A-271879257 * | High | Closed-source component |
| CVE-2023-21653 | A-271880270 * | High | Closed-source component |
| CVE-2023-28538 | A-280341574 * | High | Closed-source component |
| CVE-2023-28549 | A-280342096 * | High | Closed-source component |
| CVE-2023-28573 | A-285902920 * | High | Closed-source component |
| CVE-2023-33015 | A-285903140 * | High | Closed-source component |
| CVE-2023-33016 | A-285902923 * | High | Closed-source component |