Android 的 2024 年 1 月安全更新修补了 58 个漏洞

Android 安全公告包含影响 Android 设备的安全漏洞的详细信息。2024 年 1 月 5 日或更高版本的安全补丁级别可解决所有这些问题。

Android 合作伙伴至少会在发布前一个月收到有关所有问题的通知。这些问题的源代码补丁将在接下来的 48 小时内发布到 Android 开源项目 (AOSP) 存储库。我们将在 AOSP 链接可用时修改此公告。

其中最严重的问题是框架组件中的高安全漏洞，可能导致本地权限升级，而无需额外的执行权限。严重性评估基于利用漏洞可能对受影响设备产生的影响，假设平台和服务缓解措施出于开发目的而关闭或成功绕过。

Android 和 Google 服务缓解措施

这是Android 安全平台和服务保护（例如Google Play Protect）提供的缓解措施的摘要。这些功能降低了 Android 上安全漏洞被成功利用的可能性。

• 新版 Android 平台的增强功能使得利用 Android 上的许多问题变得更加困难。我们鼓励所有用户尽可能更新到最新版本的 Android。

• Android 安全团队通过Google Play Protect积极监控滥用行为，并向用户发出有关潜在有害应用程序的警告。默认情况下，在具有Google 移动服务的设备上启用 Google Play Protect，这对于从 Google Play 外部安装应用程序的用户尤其重要。

2024-01-01 安全补丁级漏洞详情

在下面的部分中，我们提供了适用于 2024 年 1 月 1 日补丁级别的每个安全漏洞的详细信息。漏洞按其影响的组件进行分组。下表描述了问题，包括 CVE ID、相关参考文献、漏洞类型、严重性和更新的 AOSP 版本（如果适用）。如果可用，我们会将解决问题的公共更改链接到错误 ID，例如 AOSP 更改列表。当多个更改与单个错误相关时，其他参考链接到错误 ID 后面的数字。搭载 Android 10 及更高版本的设备可能会收到安全更新以及Google Play 系统更新。

框架

本节中最严重的漏洞可能会导致本地权限升级，而无需额外的执行权限。

CVE	参考	类型	严重性	更新了 AOSP 版本
CVE-2023-21245	A-222446076	结束时间	高的	11, 12, 12L, 13, 14
CVE-2024-0015	A-300090204	结束时间	高的	11、12、12L、13
CVE-2024-0018	A-300476626	结束时间	高的	11, 12, 12L, 13, 14
CVE-2024-0023	A-283099444	结束时间	高的	11, 12, 12L, 13, 14
CVE-2024-0019	A-294104969	ID	高的	12、12L、13、14

系统

本节中最严重的漏洞可能会导致本地权限升级，而无需额外的执行权限。

CVE	参考	类型	严重性	更新了 AOSP 版本
CVE-2024-0021	A-282934003	结束时间	高的	13, 14
CVE-2023-40085	A-269271098	ID	高的	12、12L、13
CVE-2024-0016	A-279169188	ID	高的	11, 12, 12L, 13, 14
CVE-2024-0017	A-285142084	ID	高的	11, 12, 12L, 13, 14
CVE-2024-0020	A-299614635	ID	高的	11, 12, 12L, 13, 14

Google Play 系统更新

Project Mainline 组件中包含以下问题。

子组件	CVE
媒体编解码器	CVE-2024-0018

2024-01-05 安全补丁级漏洞详情

在下面的部分中，我们提供了适用于 2024-01-05 补丁级别的每个安全漏洞的详细信息。漏洞按其影响的组件进行分组。下表描述了问题，包括 CVE ID、相关参考文献、漏洞类型、严重性和更新的 AOSP 版本（如果适用）。如果可用，我们会将解决问题的公共更改链接到错误 ID，例如 AOSP 更改列表。当多个更改与单个错误相关时，其他参考链接到错误 ID 后面的数字。

手臂组件

这些漏洞影响 Arm 组件，可直接从 Arm 获取更多详细信息。这些问题的严重性评估由 Arm 直接提供。

CVE	参考	严重性	子组件
CVE-2023-4295	A-275619408 *	高的	马里
CVE-2023-5427	A-308188337 *	高的	马里

想象力科技

此漏洞影响 Imagination Technologies 组件，可直接从 Imagination Technologies 获取更多详细信息。此问题的严重性评估由 Imagination Technologies 直接提供。

CVE	参考	严重性	子组件
CVE-2023-21165	A-292001469 *	高的	PowerVR-GPU

联发科技组件

这些漏洞影响 MediaTek 组件，可直接从 MediaTek 获取更多详细信息。这些问题的严重性评估由联发科直接提供。

CVE	参考	严重性	子组件
CVE-2023-32874	A-309364195 M-MOLY01161803 *	高的	调制解调器 IMS 堆栈
CVE-2023-32872	A-309367791 M-ALPS08308607 *	高的	密钥安装

紫光展锐组件

这些漏洞影响 Unisoc 组件，可直接从 Unisoc 获取更多详细信息。这些问题的严重性评估由紫光展锐直接提供。

CVE	参考	严重性	子组件
CVE-2023-48340	A-311290655 U-2228010 *	高的	安卓
CVE-2023-48341	A-311288752 U-2227052 *	高的	安卓
CVE-2023-48342	A-311288747 U-2227689 *	高的	安卓
CVE-2023-48343	A-311290653 U-2227689 *	高的	安卓
CVE-2023-48344	A-311282174 U-2266624 *	高的	安卓
CVE-2023-48348	A-311279656 U-2227052 *	高的	安卓
CVE-2023-48349	A-311279652 U-2219058 *	高的	安卓
CVE-2023-48350	A-311279655 U-2219062 *	高的	安卓
CVE-2023-48351	A-311273934 U-2219064 *	高的	安卓
CVE-2023-48352	A-311273933 U-2153501 *	高的	安卓

高通组件

这些漏洞影响 Qualcomm 组件，并在相应的 Qualcomm 安全公告或安全警报中进行了更详细的描述。这些问题的严重性评估由高通直接提供。

CVE	参考	严重性	子组件
CVE-2023-33094	A-295908146 QC-CR#3490029 [ 2 ]	高的	展示
CVE-2023-33108	A-294872878 QC-CR#3594896	高的	展示
CVE-2023-33110	A-303101147 QC-CR#3459076 [ 2 ]	高的	声音的
CVE-2023-33113	A-303101624 QC-CR#3495200 [ 2 ]	高的	核心
CVE-2023-33114	A-303101495 QC-CR#3520999 [ 2 ]	高的	核心
CVE-2023-33117	A-303101067 QC-CR#3531543	高的	声音的
CVE-2023-33120	A-303101456 QC-CR#3538938 [ 2 ] [ 3 ]	高的	声音的
CVE-2023-43514	A-303101664 QC-CR#3613254	高的	核心

高通闭源组件

这些漏洞影响 Qualcomm 闭源组件，并在相应的 Qualcomm 安全公告或安全警报中进行了更详细的描述。这些问题的严重性评估由高通直接提供。

CVE	参考	严重性	子组件
CVE-2023-21651	A-268059825 *	批判的	闭源组件
CVE-2023-33025	A-290061199 *	批判的	闭源组件
CVE-2023-33036	A-290061245 *	批判的	闭源组件
CVE-2022-33275	A-280342403 *	高的	闭源组件
CVE-2023-28544	A-280342360 *	高的	闭源组件
CVE-2023-28548	A-280342264 *	高的	闭源组件
CVE-2023-28557	A-280342461 *	高的	闭源组件
CVE-2023-28558	A-280342364 *	高的	闭源组件
CVE-2023-28559	A-280342379 *	高的	闭源组件
CVE-2023-28560	A-280342458 *	高的	闭源组件
CVE-2023-28564	A-280342073 *	高的	闭源组件
CVE-2023-28565	A-280341573 *	高的	闭源组件
CVE-2023-28567	A-280341537 *	高的	闭源组件
CVE-2023-33014	A-290060890 *	高的	闭源组件
CVE-2023-33030	A-290061201 *	高的	闭源组件
CVE-2023-33032	A-290061658 *	高的	闭源组件
CVE-2023-33033	A-290060591 *	高的	闭源组件
CVE-2023-33037	A-290061062 *	高的	闭源组件
CVE-2023-33040	A-290061061 *	高的	闭源组件
CVE-2023-33043	A-295039021 *	高的	闭源组件
CVE-2023-33044	A-295039321 *	高的	闭源组件
CVE-2023-33062	A-303101463 *	高的	闭源组件
CVE-2023-33109	A-303102144 *	高的	闭源组件
CVE-2023-33112	A-303101016 *	高的	闭源组件
CVE-2023-43511	A-303101323 *	高的	闭源组件

常见问题及解答

本节回答阅读本公告后可能出现的常见问题。

1. 如何确定我的设备是否已更新以解决这些问题？

要了解如何检查设备的安全补丁级别，请参阅检查和更新您的 Android 版本。

• 2024-01-01 或更高版本的安全补丁程序级别可解决与 2024-01-01 安全补丁程序级别相关的所有问题。

• 2024-01-05 或更高版本的安全补丁级别解决了与 2024-01-05 安全补丁级别和所有先前补丁级别相关的所有问题。

包含这些更新的设备制造商应将补丁字符串级别设置为：

• [ro.build.version.security_patch]：[2024-01-01]

• [ro.build.version.security_patch]：[2024-01-05]

对于某些运行 Android 10 或更高版本的设备，Google Play 系统更新将具有与 2024-01-01 安全补丁级别匹配的日期字符串。有关如何安装安全更新的更多详细信息，请参阅本文。

2. 为什么本公告有两个安全补丁级别？

此公告有两个安全补丁级别，以便 Android 合作伙伴能够灵活地更快地修复所有 Android 设备上相似的漏洞子集。我们鼓励 Android 合作伙伴修复本公告中的所有问题并使用最新的安全补丁级别。

• 使用 2024-01-01 安全补丁级别的设备必须包含与该安全补丁级别相关的所有问题，以及之前安全公告中报告的所有问题的修复程序。

• 使用 2024-01-05 或更高版本安全补丁程序级别的设备必须包含本（和之前）安全公告中的所有适用补丁程序。

我们鼓励合作伙伴将他们正在解决的所有问题的修复程序捆绑在一次更新中。

3.类型栏中的条目是什么意思？

漏洞详细信息表的“类型”列中的条目引用安全漏洞的分类。

缩写	定义
远程代码执行	远程代码执行
结束时间	特权提升
ID	信息披露
拒绝服务	拒绝服务
不适用	分类不可用

4.参考文献栏中的条目是什么意思？

漏洞详细信息表的引用列下的条目可能包含标识引用值所属组织的前缀。

字首	参考
A-	安卓错误 ID
QC-	高通参考号
M-	联发科参考号
N-	NVIDIA 参考号
B-	博通参考号
U-	紫光展锐参考号

5.参考资料栏中 Android bug ID 旁边的 * 是什么意思？

未公开发布的问题在相应的参考 ID 旁边有一个 *。该问题的更新通常包含在Google 开发者网站上提供的 Pixel 设备的最新二进制驱动程序中。

6. 为什么安全漏洞会分为本公告和设备/合作伙伴安全公告（例如 Pixel 公告）？

本安全公告中记录的安全漏洞需要在 Android 设备上声明最新的安全补丁级别。声明安全补丁级别不需要设备/合作伙伴安全公告中记录的其他安全漏洞。Android 设备和芯片组制造商还可能发布特定于其产品的安全漏洞详细信息，例如Google 、华为、 LGE 、摩托罗拉、诺基亚或三星。

版本

版本	日期	笔记
1.0	2024 年 1 月 3 日	公告发布。

原文始发于微信公众号（HackSee）：Android 的 2024 年 1 月安全更新修补了 58 个漏洞