7 月

华为正在发布主要旗舰机型的月度安全维护版本。本次安全更新软件包含三方库补丁和华为补丁：

本次安全更新软件包含如下三方库补丁：

2023年6月Android 安全公告CVE：

严重：CVE-2023-21108，CVE-2023-21127

高：CVE-2023-21129，CVE-2023-21131，CVE-2023-21136，CVE-2023-21137，CVE-2023-21143，CVE-2023-21144，CVE-2023-21135，CVE-2023-21124，CVE-2023-21121，CVE-2023-21138，CVE-2023-21115，CVE-2023-21657，CVE-2022-28349，CVE-2021-0701，CVE-2021-0945，CVE-2023-21656，CVE-2023-21669

中：无

低：无

包含在之前的公告中：无

※ 有关修补程序的详细信息，请参阅 Android 安全公告(https://source.android.com/security/bulletin)。

本次安全更新软件包含如下华为补丁：

CVE-2021-40014：骨声纹TA (trusted‧application) 存在信息管理错误漏洞

严重程度：中

影响版本：EMUI 13.0.0，EMUI 12.0.1，EMUI 12.0.0

影响：成功利用这个漏洞导致机密性受影响。

CVE-2021-40027：骨声纹TA存在缓冲长度计算错误漏洞

严重程度：高

影响版本：EMUI 13.0.0，EMUI 12.0.1，EMUI 12.0.0

影响：成功利用这个漏洞导致机密性受影响。

CVE-2021-40032：骨声纹TA (trusted‧application) 存在信息管理错误漏洞

严重程度：中

影响版本：EMUI 13.0.0，EMUI 12.0.1，EMUI 12.0.0

影响：成功利用这个漏洞导致机密性受影响。

CVE-2021-46890：GPU模块存在读写权限判断不全漏洞

严重程度：严重

影响版本：EMUI 12.0.0

影响：成功利用这个漏洞可能导致机密性、完整性、可用性受影响。

CVE-2021-46891：GPU模块存在读写权限判断不全漏洞

严重程度：严重

影响版本：EMUI 12.0.0

影响：成功利用这个漏洞可能导致机密性、完整性、可用性受影响。

CVE-2021-46892：维修模式存在加密绕过漏洞

严重程度：中

影响版本：EMUI 12.0.1，EMUI 12.0.0

影响：成功利用此漏洞可能导致机密性受影响。

CVE-2021-46893：数据校验和参数检查不严问题

严重程度：严重

影响版本：EMUI 12.0.0

影响：成功利用此漏洞可能导致完整性受影响。

CVE-2021-46894：输入子系统模块存在UAF漏洞

严重程度：高

影响版本：EMUI 12.0.0

影响：成功利用此漏洞可能导致内核提权。

CVE-2022-48507：存储模块存在绕过身份验证的漏洞

严重程度：中

影响版本：EMUI 13.0.0，EMUI 12.0.1，EMUI 12.0.0，EMUI 11.0.1

影响：成功利用此漏洞可能导致机密性受影响。

CVE-2022-48508：系统应用存在不适当的授权漏洞

严重程度：高

影响版本：EMUI 13.0.0，EMUI 12.0.1，EMUI 12.0.0，EMUI 11.0.1

影响：成功利用此漏洞可能导致完整性受影响。

CVE-2022-48509：华为分享由于多线程访问互斥资源存在条件竞争的漏洞

严重程度：中

影响版本：EMUI 12.0.1，EMUI 12.0.0

影响：成功利用此漏洞可以导致程序异常退出。

CVE-2022-48510：AMS模块存在输入验证类漏洞

严重程度：中

影响版本：EMUI 12.0.0

影响：成功利用这个漏洞会导致越权。

CVE-2022-48511：音频pcm驱动模块在构造特殊条件下存在UAF漏洞

严重程度：中

影响版本：EMUI 12.0.0

影响：成功利用此漏洞可能导致音频功能异常

CVE-2022-48512：Vdecoderservice服务存在UAF漏洞

严重程度：高

影响版本：EMUI 12.0.0

影响：成功利用此漏洞可能导致图片解码功能异常

CVE-2022-48513：图库模块存在通过欺骗绕过身份认证漏洞

严重程度：中

影响版本：EMUI 13.0.0，EMUI 12.0.1，EMUI 12.0.0，EMUI 11.0.1

影响：成功利用这个漏洞可能导致越界访问。

CVE-2022-48515：Nearby存在权限管理不当的漏洞

严重程度：中

影响版本：EMUI 12.0.1，EMUI 12.0.0，EMUI 11.0.1

影响：成功利用此漏洞可能导致机密性受影响。

CVE-2022-48516：分布式软总线组件存在唯一值能被三方应用获取到漏洞

严重程度：中

影响版本：EMUI 12.0.1，EMUI 12.0.0，EMUI 11.0.1

影响：成功利用这个漏洞导致机密性受影响。

CVE-2022-48517：分布式软总线组件存服务越权漏洞

严重程度：中

影响版本：EMUI 12.0.1，EMUI 12.0.0，EMUI 11.0.1

影响：成功利用这个漏洞可能导致可用性受影响。

CVE-2022-48518：iaware实时子系统存在签名校验服务初始化晚于系统广播发送的漏洞

严重程度：中

影响版本：EMUI 12.0.1，EMUI 12.0.0

影响：成功利用这个漏洞可能导致恶意应用伪装白名单应用的包名，实现开机自启等功能，影响系统性能。

CVE-2022-48519：SystemUI模块存在越权漏洞

严重程度：中

影响版本：EMUI 12.0.1，EMUI 12.0.0

影响：成功利用此漏洞可能导致设备机密性受影响。

CVE-2022-48520：SystemUI模块存在越权漏洞

严重程度：中

影响版本：EMUI 12.0.1，EMUI 12.0.0

影响：成功利用此漏洞可能导致设备机密性受影响。

CVE-2023-1691：通信框架存在异常未正确捕获漏洞

严重程度：中

影响版本：EMUI 13.0.0，EMUI 12.0.1，EMUI 12.0.0，EMUI 11.0.1

影响：成功利用此漏洞可以导致功能异常。

CVE-2023-1695：通信框架存在异常未正确捕获漏洞

严重程度：中

影响版本：EMUI 13.0.0，EMUI 12.0.1，EMUI 12.0.0，EMUI 11.0.1

影响：成功利用此漏洞可以导致功能异常。

CVE-2023-34164：通信框架组件存在入参校验漏洞

严重程度：中

影响版本：EMUI 13.0.0

影响：成功利用这个漏洞可以导致可用性受影响。

CVE-2023-3455：系统存在密钥管理漏洞

严重程度：高

影响版本：EMUI 13.0.0

影响：成功利用这个漏洞可以导致可用性和完整性受影响

CVE-2023-3456：DFR冻屏检测模块存在内核裸地址泄漏风险

严重程度：中

影响版本：EMUI 13.0.0，EMUI 12.0.1，EMUI 12.0.0

影响：成功利用此漏洞可能导致机密性受影响。

CVE-2023-37238：应用投屏模块某个接口存在访问权限校验不完整的漏洞。

严重程度：中

影响版本：EMUI 13.0.0

影响：成功利用此漏洞可能影响应用投屏部分功能可用性。

CVE-2023-37239：分布式文件系统存在格式化字符串漏洞

严重程度：中

影响版本：EMUI 13.0.0，EMUI 12.0.1

影响：绕过selinux权限的攻击者可以利用此漏洞导致程序崩溃。

CVE-2023-37240：分布式文件系统存在未验证输入长度的漏洞

严重程度：中

影响版本：EMUI 13.0.0，EMUI 12.0.1

影响：成功利用此漏洞可以导致越界读。

CVE-2023-37241：WMS接口存在输入验证类漏洞

严重程度：中

影响版本：EMUI 13.0.0

影响：成功利用这个漏洞可导致设备重启。

CVE-2023-37242：atcmdserver模块存在对modem侧指令拦截漏洞

严重程度：中

影响版本：EMUI 13.0.0，EMUI 12.0.0

影响：攻击者可以用此漏洞来改写NV的值，或者以此漏洞作为别的漏洞攻击入口。

致谢：Mateo De la Hoz，from Skidbladnir Security Labs

CVE-2023-37245：modem pinctrl模块存在写越界的缓冲区溢出漏洞。

严重程度：中

影响版本：EMUI 13.0.0，EMUI 12.0.0

影响：成功利用此漏洞会影响modem完整性和可用性。