El Boletín de seguridad de Android proporciona información sobre las vulnerabilidades de seguridad que afectan a los dispositivos Android. El nivel de parche de seguridad 2023-01-05 o superior resuelve todos estos problemas.
Para obtener información sobre cómo verificar el nivel del parche de seguridad de su dispositivo, consulte Verificación y actualización de su versión de Android.
Se notifica a los socios de Android sobre cualquier problema al menos un mes antes del lanzamiento. Las soluciones de origen para estos problemas se publicarán en el repositorio del Proyecto de código abierto de Android (AOSP) en las próximas 48 horas.
Revisaremos este boletín cuando el enlace AOSP esté disponible. El más grave de estos problemas es una vulnerabilidad de alta seguridad en un componente de Framework que podría provocar una escalada de privilegios locales sin derechos de ejecución adicionales.
Las evaluaciones de gravedad se basan en el impacto de explotar la vulnerabilidad en los dispositivos afectados, suponiendo que las mitigaciones de la plataforma y el servicio se deshabilitan o se eluden con éxito para la explotación.
Para obtener más información sobre la plataforma de seguridad de Android y Google Play Protect, que mejora la seguridad en la plataforma Android, consulte Mitigaciones de Android y Google Play Protect.
Marco
La vulnerabilidad más grave de esta sección podría dar lugar a una escalada local de privilegios sin necesidad de privilegios de ejecución adicionales.
| CVE | Referencias | Escribe | Gravedad | Versiones actualizadas de AOSP |
|---|---|---|---|---|
| CVE-2022-20456 | A-242703780 | EoP | Elevado | 10, 11, 12, 12L, 13 |
| CVE-2022-20489 | A-242703460 | EoP | Elevado | 10, 11, 12, 12L, 13 |
| CVE-2022-20490 | A-242703505 | EoP | Elevado | 10, 11, 12, 12L, 13 |
| CVE-2022-20492 | A-242704043 | EoP | Elevado | 10, 11, 12, 12L, 13 |
| CVE-2022-20493 | A-242846316 | EoP | Elevado | 10, 11, 12, 12L, 13 |
| CVE-2023-20912 | A-246301995 | EoP | Elevado | 13 |
| CVE-2023-20916 | A-229256049 | EoP | Elevado | 12, 12L |
| CVE-2023-20918 | A-243794108 | EoP | Elevado | 10, 11, 12, 12L, 13 |
| CVE-2023-20919 | A-252663068 | EoP | Elevado | 13 |
| CVE-2023-20920 | A-204584366 | EoP | Elevado | 10, 11, 12, 12L, 13 |
| CVE-2023-20921 | A-243378132 | EoP | Elevado | 10, 11, 12, 12L, 13 |
| CVE-2022-20494 | A-243794204 | DoS | Elevado | 10, 11, 12, 12L, 13 |
| CVE-2023-20908 | A-239415861 | DoS | Elevado | 10, 11, 12, 12L, 13 |
| CVE-2023-20922 | A-237291548 | DoS | Elevado | 11, 12, 12L, 13 |
Sistema
La vulnerabilidad más grave en esta sección podría dar lugar a una escalada local de privilegios de BLE sin necesidad de privilegios de ejecución adicionales.
| CVE | Referencias | Escribe | Gravedad | Versiones actualizadas de AOSP |
|---|---|---|---|---|
| CVE-2022-20461 | A-228602963 | EoP | Elevado | 10, 11, 12, 12L, 13 |
| CVE-2023-20904 | A-246300272 | EoP | Elevado | 12L, 13 |
| CVE-2023-20905 | A-241387741 | EoP | Elevado | 10 |
| CVE-2023-20913 | A-246933785 | EoP | Elevado | 10, 11, 12, 12L, 13 |
| CVE-2023-20915 | A-246930197 | EoP | Elevado | 10, 11, 12, 12L, 13 |
Actualizaciones del sistema de Google Play
Los siguientes problemas se incluyen en los componentes de Project Mainline.
| subcomponente | CVE |
|---|---|
| proveedor de medios | CVE-2023-20912 |
Detalles de vulnerabilidad de nivel de parche de seguridad 2023-01-05
En las secciones a continuación, proporcionamos detalles para cada una de las vulnerabilidades de seguridad que se aplican al nivel de parche 2023-01-05. Las vulnerabilidades se agrupan según el componente al que afectan. Los problemas se describen en las tablas siguientes e incluyen el ID de CVE, las referencias asociadas, el tipo de vulnerabilidad , la gravedad y las versiones actualizadas de AOSP (cuando corresponda). Cuando está disponible, vinculamos el cambio público que abordó el problema con la identificación del error, como la lista de cambios de AOSP. Cuando varios cambios se relacionan con un solo error, las referencias adicionales se vinculan a los números que siguen al ID del error.
Núcleo
La vulnerabilidad más grave de esta sección podría dar lugar a la ejecución remota de código sin necesidad de privilegios de ejecución adicionales.
| CVE | Referencias | Escribe | Gravedad | subcomponente |
|---|---|---|---|---|
| CVE-2022-42719 | A-253642087 Núcleo ascendente [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ] [ 12 ] [ 13 ] [ 14 ] | RCE | Crítico | mac80211 |
| CVE-2022-42720 | A-253642015 Núcleo ascendente [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ] [ 12 ] [ 13 ] [ 14 ] | RCE | Crítico | WiFi |
| CVE-2022-42721 | A-253642088 Núcleo ascendente [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ] [ 12 ] [ 13 ] [ 14 ] | RCE | Crítico | Múltiples Módulos |
| CVE-2022-2959 | A-244395411 Núcleo ascendente | EoP | Elevado | Tubo |
Componentes del núcleo
La vulnerabilidad más grave de esta sección podría dar lugar a la ejecución remota de código sin necesidad de privilegios de ejecución adicionales.
| CVE | Referencias | Escribe | Gravedad | subcomponente |
|---|---|---|---|---|
| CVE-2022-41674 | A-253641805 Núcleo ascendente [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ] [ 12 ] [ 13 ] [ 14 ] | RCE | Crítico | WiFi |
| CVE-2023-20928 | A-254837884 Núcleo ascendente | EoP | Elevado | Conductor de carpeta |
Núcleo LTS
Se han actualizado las siguientes versiones del kernel. Las actualizaciones de la versión del kernel dependen de la versión del sistema operativo Android en el momento del lanzamiento del dispositivo.
| Referencias | Versión de lanzamiento de Android | Versión de lanzamiento del kernel | Versión mínima de lanzamiento |
|---|---|---|---|
| A-224575820 | 12 | 5.10 | 5.10.101 |
Tecnologías de la imaginación
Esta vulnerabilidad afecta a los componentes de Imagination Technologies y más detalles están disponibles directamente de Imagination Technologies. Imagination Technologies proporciona directamente la evaluación de la gravedad de este problema.
| CVE | Referencias | Gravedad | subcomponente |
|---|---|---|---|
| CVE-2022-20235 | A-259967780 * | Elevado | PowerVR-GPU |
Componentes de MediaTek
Estas vulnerabilidades afectan a los componentes de MediaTek y hay más detalles disponibles directamente de MediaTek. MediaTek proporciona directamente la evaluación de la gravedad de estos problemas.
| CVE | Referencias | Gravedad | subcomponente |
|---|---|---|---|
| CVE-2022-32635 | A-257714327 M-ALPS07573237 * | Elevado | GPS |
| CVE-2022-32636 | A-257846591 M-ALPS07510064 * | Elevado | instalación clave |
| CVE-2022-32637 | A-257860658 M-ALPS07491374 * | Elevado | decodificador hevc |
Componentes Unisoc
Estas vulnerabilidades afectan los componentes de Unisoc y más detalles están disponibles directamente de Unisoc. La evaluación de la gravedad de estos problemas es proporcionada directamente por Unisoc.
| CVE | Referencias | Gravedad | subcomponente |
|---|---|---|---|
| CVE-2022-44425 | A-258731891 U-2028856 * | Elevado | Núcleo |
| CVE-2022-44426 | A-258728978 U-2028856 * | Elevado | Núcleo |
| CVE-2022-44427 | A-258736883 U-1888565 * | Elevado | Núcleo |
| CVE-2022-44428 | A-258741356 U-1888565 * | Elevado | Núcleo |
| CVE-2022-44429 | A-258743555 U-1981296 * | Elevado | Núcleo |
| CVE-2022-44430 | A-258749708 U-1888565 * | Elevado | Núcleo |
| CVE-2022-44431 | A-258741360 U-1981296 * | Elevado | Núcleo |
| CVE-2022-44432 | A-258743558 U-1981296 * | Elevado | Núcleo |
| CVE-2022-44434 | A-258760518 U-2064988 * | Elevado | Androide |
| CVE-2022-44435 | A-258759189 U-2064988 * | Elevado | Androide |
| CVE-2022-44436 | A-258760519 U-2064988 * | Elevado | Androide |
| CVE-2022-44437 | A-258759192 U-2064988 * | Elevado | Androide |
| CVE-2022-44438 | A-258760781 U-2064988 * | Elevado | Androide |
Componentes Qualcomm
Estas vulnerabilidades afectan a los componentes de Qualcomm y se describen con más detalle en el boletín de seguridad o alerta de seguridad correspondiente de Qualcomm. Qualcomm proporciona directamente la evaluación de la gravedad de estos problemas.
| CVE | Referencias | Gravedad | subcomponente |
|---|---|---|---|
| CVE-2022-22088 | A-231156521 QC-CR#3052411 | Crítico | Bluetooth |
| CVE-2022-33255 | A-250627529 QC-CR#3212699 | Elevado | Bluetooth |
Componentes de código cerrado de Qualcomm
Estas vulnerabilidades afectan a los componentes de código cerrado de Qualcomm y se describen con más detalle en el boletín de seguridad o alerta de seguridad de Qualcomm correspondiente. Qualcomm proporciona directamente la evaluación de la gravedad de estos problemas.
| CVE | Referencias | Gravedad | subcomponente |
|---|---|---|---|
| CVE-2021-35097 | A-209469821 * | Crítico | Componente de código cerrado |
| CVE-2021-35113 | A-209469998 * | Crítico | Componente de código cerrado |
| CVE-2021-35134 | A-213239776 * | Crítico | Componente de código cerrado |
| CVE-2022-23960 | A-238203772 * | Elevado | Componente de código cerrado |
| CVE-2022-25725 | A-238101314 * | Elevado | Componente de código cerrado |
| CVE-2022-25746 | A-238106983 * | Elevado | Componente de código cerrado |
| CVE-2022-33252 | A-250627159 * | Elevado | Componente de código cerrado |
| CVE-2022-33253 | A-250627591 * | Elevado | Componente de código cerrado |
| CVE-2022-33266 | A-250627569 * | Elevado | Componente de código cerrado |
| CVE-2022-33274 | A-250627236 * | Elevado | Componente de código cerrado |
| CVE-2022-33276 | A-250627271 * | Elevado | Componente de código cerrado |
| CVE-2022-33283 | A-250627602 * | Elevado | Componente de código cerrado |
| CVE-2022-33284 | A-250627218 * | Elevado | Componente de código cerrado |
| CVE-2022-33285 | A-250627435 * | Elevado | Componente de código cerrado |
| CVE-2022-33286 | A-250627240 * | Elevado | Componente de código cerrado |
Fuente:
Boletín de seguridad de Android: enero de 2023 | Android Open Source Project