Примечания о безопасности к выпуску Android 12L

Дата публикации: 22 февраля 2022 г. | Дата обновления: 8 сентября 2022 г.

В этих примечаниях к выпуску содержится информация об уязвимостях в защите, исправленных в Android 12L. Все перечисленные здесь проблемы устранены на устройствах с Android 12L, где установлено исправление системы безопасности 2022-03-01 или более новое (исправление 2022-03-01 по умолчанию используется в версии Android 12L, опубликованной на сайте AOSP). Информацию о том, как проверить уровень исправления системы безопасности на устройстве, можно найти в статье об обновлении версии Android.

Мы сообщаем партнерам Android обо всех проблемах до публикации бюллетеней. Исправления для устранения указанных уязвимостей в исходном коде добавлены в хранилище Android Open Source Project (AOSP) в рамках выпуска Android 12L.

Уровень серьезности, указанный в этих примечаниях к выпуску, зависит от того, какой ущерб потенциально может быть нанесен устройству в случае использования уязвимости, если средства защиты будут отключены в целях разработки или злоумышленнику удастся их обойти.

У нас нет информации о том, что обнаруженные уязвимости эксплуатировались. Сведения о том, как платформа безопасности Android и Google Play Защита помогают снизить вероятность успешного использования уязвимостей Android, можно найти в разделе Предотвращение атак.

Объявления

  • Проблемы, описанные в этом документе, устранены в Android 12L. Сведения о них предоставлены для справки и обеспечения информационной прозрачности.
  • Мы благодарим исследователей в области безопасности за их непрерывную работу, которая помогает обеспечить защиту экосистемы Android.

Предотвращение атак

Здесь описано, как платформа безопасности Android и средства защиты сервисов, например Google Play Защита, позволяют снизить вероятность атак на Android.

  • В новых версиях Android сложнее использовать многие уязвимости, поэтому мы рекомендуем своевременно обновлять систему.
  • Команда, отвечающая за безопасность Android, активно отслеживает с помощью Google Play Защиты случаи злоупотребления и предупреждает пользователей об установке потенциально опасных приложений. Google Play Защита по умолчанию включена на телефонах и планшетах, использующих сервисы Google для мобильных устройств. Она особенно в��ж��а ��ля ��ех, ��т�� устан��вл��вает приложения не из Google Play.

Android 12L: подробные сведения об уязвимостях

В этом разделе вы найдете подробную информацию обо всех уязвимостях, устраненных в Android 12L. Проблемы сгруппированы по компонентам, которые они затрагивают. Для каждого случая указаны CVE, ссылки, тип уязвимости и уровень серьезности.

Framework

CVE Ссылки Тип Уровень серьезности
CVE-2021-39749 A-205996115 EoP Высокий
CVE-2021-39743 A-201534884 EoP Средний
CVE-2021-39746 A-194696395 EoP Средний
CVE-2021-39750 A-206474016 EoP Средний
CVE-2021-39752 A-202756848 EoP Средний
CVE-2022-20002 A-198657657 EoP Средний
CVE-2022-20203 A-199745908 EoP Средний
CVE-2021-39744 A-192369136 ID Средний
CVE-2021-39745 A-206127671 ID Средний
CVE-2021-39747 A-208268457 ID Средний
CVE-2021-39748 A-203777141 ID Средний
CVE-2021-39751 A-172838801 ID Средний
CVE-2021-39753 A-200035185 ID Средний
CVE-2021-39755 A-204995407 ID Средний
CVE-2021-39756 A-184354287 ID Средний
CVE-2021-39757 A-176094662 ID Средний
CVE-2021-39754 A-207133709 Неизвестно Неизвестно

Media Framework

CVE Ссылки Тип Уровень серьезности
CVE-2021-39759 A-180200830 EoP Средний
CVE-2021-39760 A-194110526 ID Средний
CVE-2021-39761 A-179783181 ID Средний
CVE-2021-39762 A-210625816 ID Средний

Платформа

CVE Ссылки Тип Уровень серьезности
CVE-2021-39741 A-173567719 EoP Средний
CVE-2021-39763 A-199176115 EoP Средний
CVE-2021-39764 A-170642995 EoP Средний
CVE-2021-39767 A-201308542 EoP Средний
CVE-2021-39768 A-202017876 EoP Средний
CVE-2021-39771 A-198661951 EoP Средний
CVE-2021-25393 A-180518134 ID Средний
CVE-2021-39739 A-184525194 ID Средний
CVE-2021-39740 A-209965112 ID Средний
CVE-2021-39742 A-186405602 ID Средний
CVE-2021-39765 A-201535427 ID Средний
CVE-2021-39766 A-198296421 ID Средний
CVE-2021-39769 A-193663287 ID Средний
CVE-2021-39770 A-193033501 ID Средний

Система

CVE Ссылки Тип Уровень серьезности
CVE-2021-39776 A-192614125 EoP Высокий
CVE-2021-39787 A-202506934 EoP Высокий
CVE-2021-39772 A-181962322 EoP Средний
CVE-2021-39780 A-204992293 EoP Средний
CVE-2021-39781 A-195311502 EoP Средний
CVE-2021-39782 A-202760015 EoP Средний
CVE-2021-39783 A-197960597 EoP Средний
CVE-2021-39784 A-200163477 EoP Средний
CVE-2021-39786 A-192551247 EoP Средний
CVE-2021-39789 A-203880906 EoP Средний
CVE-2021-39790 A-186405146 EoP Средний
CVE-2021-39773 A-191276656 ID Средний
CVE-2021-39775 A-206465854 ID Средний
CVE-2021-39777 A-194743207 ID Средний
CVE-2021-39778 A-196406138 ID Средний
CVE-2021-39779 A-190400974 ID Средний
CVE-2021-39788 A-191768014 ID Средний
CVE-2021-39791 A-194112606 ID Средний
CVE-2021-39774 A-205989472 DoS Средний

Дополнительные сведения об уязвимостях

В этом разделе представлена информация об уязвимостях в защите, которые необязательно устранять для соответствия последнему исправлению системы безопасности.

Android TV

CVE Ссылки Тип Уровень серьезности
CVE-2021-1000 A-185190688 EoP Средний
CVE-2021-1033 A-185247656 EoP Средний

Часто задаваемые вопросы

В этом разделе мы отвечаем на вопросы, которые могут возникнуть после прочтения бюллетеня.

1. Как определить, установлено ли на устройстве обновление, в котором устранены перечисленные проблемы?

Информацию о том, как проверить уровень исправления системы безопасности на устройстве, можно найти в статье об обновлении версии Android.

В версии Android 12L, опубликованной на сайте AOSP, по умолчанию используется исправление системы безопасности 2022-03-01. На устройствах Android 12L с исправлением 2022-03-01 или более новым устранены все уязвимости, описанные в этих примечаниях к выпуску.

2. Что означают сокращения в столбце Тип?

В этом столбце указан тип уязвимости по следующей классификации:

Сокращение Описание
RCE Удаленное выполнение кода
EoP Повышение привилегий
ID Раскрытие информации
DoS Отказ в обслуживании
Н/Д Классификация недоступна

3. Что означает информация в столбце Ссылки?

В таблицах с описанием уязвимостей есть столбец Ссылки. Каждая запись в нем может содержать префикс, указывающий на источник с��ылки, а именно:

Префикс Значение
A- Идентификатор ошибки Android

Версии

Версия Дата Примечания
1.0 22 февраля 2022 г. Опубликованы примечания о безопасности к выпуску.
1.1 27 мая 2022 г. Обновлен список проблем.
1.2 8 сентября 2022 г. Обновлен список проблем.