Biuletyn na temat bezpieczeństwa Androida – marzec 2024 r.

Opublikowano: 4 marca 2024 r. | Zaktualizowano 29 lipca 2024 r.

Biuletyn bezpieczeństwa Androida zawiera szczegółowe informacje o lukach w zabezpieczeniach na urządzeniach z Androidem. Poziomy poprawek zabezpieczeń 5 marca 2024 roku lub później. Aby dowiedzieć się, jak sprawdzić stan aktualizacji zabezpieczeń urządzenia, zobacz Aktualizowanie Androida i sprawdzanie jego wersji

Partnerzy Androida są powiadamiani o wszystkich problemach co najmniej miesiąc wcześniej publikacji. Poprawki kodu źródłowego tych problemów zostały opublikowane w Android Open Repozytorium projektu źródłowego (AOSP), do którego link znajduje się w tym biuletynie. Ten biuletyn zawiera też linki do poprawek spoza AOSP.

Poważną luką w zabezpieczeniach jest luka w zabezpieczeniach Komponent systemu, który może prowadzić do zdalnego wykonywania kodu bez dodatkowych wymagane uprawnienia do wykonywania. Ocena ważności opiera się na skutkach, jak można wykorzystać lukę na urządzeniu, przy założeniu, że środki łagodzące dla platformy i usługi są wyłączone na potrzeby programowania lub zostanie ominięty.

Więcej informacji znajdziesz w artykule na temat Androida i Google Play Protect. środki zaradcze, aby dowiedzieć się więcej o błędach Platforma zabezpieczeń Androida zabezpieczeń i Google Play Protect, które zwiększają bezpieczeństwo platformy Androida.

Android i usługa Google środki zaradcze

To jest podsumowanie środków zaradczych udostępnionych przez Platforma zabezpieczeń Androida oraz zabezpieczeń usług, takich jak Google Play Protect. Możliwości te zmniejszają prawdopodobieństwo wykorzystania luk w zabezpieczeniach Androida.

  • Wykorzystywanie wielu problemów na Androidzie utrudnia, w nowszych wersjach platformy Androida. Zachęcamy wszystkich użytkowników jak tylko będzie to możliwe, zaktualizuj Androida do najnowszej wersji.
  • Zespół ds. bezpieczeństwa Androida aktywnie monitoruje nadużycia, wykorzystując Google Play. Ochrona i ostrzeżenia użytkowników Potencjalnie Szkodliwe aplikacje. Usługa Google Play Protect jest domyślnie włączona urządzenia dzięki Google Urządzenia mobilne usług. Jest to szczególnie ważne w przypadku użytkowników, którzy instalują aplikacje z poza Google Play.

1.03.2024 szczegóły luk w zabezpieczeniach na poziomie poprawek zabezpieczeń

W sekcjach poniżej podajemy szczegółowe informacje na temat każdego rodzaju zabezpieczeń luki w zabezpieczeniach, które mają zastosowanie do poziomu poprawek z 1 marca 2024 r. Luki w zabezpieczeniach są pogrupowane według komponentu, na który mają wpływ. Problemy zostały opisane w tabelach poniżej i zawierają identyfikator CVE oraz powiązane pliki referencyjne, typ luki w zabezpieczeniach, waga, i zaktualizowanych wersji AOSP (w stosownych przypadkach). Jeśli informacja o zmianie publicznej jest dostępna, dodajemy link identyfikator błędu, np. listę zmian AOSP. Jeśli wiele zmian dotyczy jednego błędu, dodatkowe odniesienia są powiązane z numerami po identyfikatorze błędu. Urządzenia z Androidem 10 i nowszym mogą otrzymywać aktualizacje zabezpieczeń, a także Google Odtwórz aktualizacje systemu.

Platforma

Najpoważniejsza luka w zabezpieczeniach w tej sekcji może spowodować lokalną eskalację. bez dodatkowych uprawnień do wykonywania.

standard CVE Pliki referencyjne Typ Poziom Zaktualizowane wersje AOSP
CVE-2024-0046 A-299441833 eksploatacja Wysoki 12, 12 l, 13, 14
CVE-2024-0048 A-316893159 eksploatacja Wysoki 12, 12 l, 13, 14
CVE-2024-0049 A-273936274 eksploatacja Wysoki 12, 12 l, 13, 14
CVE-2024-0050 A-273935108 eksploatacja Wysoki 12, 12 l, 13, 14
CVE-2024-0051 A-276442130 eksploatacja Wysoki 12, 12 l, 13, 14
CVE-2024-0053 A-281525042 ID Wysoki 12, 12 l, 13, 14
CVE-2024-0047 A-311687929 [2] [3] ataki typu DoS Wysoki 14

System

Najpoważniejsza luka w zabezpieczeniach w tej sekcji może prowadzić do zdalnego kodu bez konieczności wykonywania dodatkowych uprawnień.

standard CVE Pliki referencyjne Typ Poziom Zaktualizowane wersje AOSP
CVE-2024-0039 A-295887535 [2] [3] RCE Krytyczny 12, 12 l, 13, 14
CVE-2024-23717 A-318374503 eksploatacja Krytyczny 12, 12 l, 13, 14
CVE-2023–40081 A-284297452 ID Wysoki 12, 12 l, 13, 14
CVE-2024-0045 A-300903400 ID Wysoki 12, 12 l, 13, 14
CVE-2024-0052 A-303871379 ID Wysoki 14

Aktualizacje systemowe Google Play

W aktualizacjach systemowych Google Play nie rozwiązano żadnych problemów z bezpieczeństwem (Project Mainline) w tym miesiącu.

5.03.2024 szczegóły luk w zabezpieczeniach na poziomie poprawek zabezpieczeń

W sekcjach poniżej podajemy szczegółowe informacje na temat każdego rodzaju zabezpieczeń Luki w zabezpieczeniach stosowane na poziomie poprawek z maja 2024 r. Luki w zabezpieczeniach są pogrupowane według komponentu, na który mają wpływ. Problemy zostały opisane w tabelach poniżej i zawierają identyfikator CVE oraz powiązane pliki referencyjne, typ luki w zabezpieczeniach, waga, i zaktualizowanych wersji AOSP (w stosownych przypadkach). Jeśli informacja o zmianie publicznej jest dostępna, dodajemy link identyfikator błędu, np. listę zmian AOSP. Jeśli wiele zmian dotyczy jednego błędu, dodatkowe odniesienia są powiązane z numerami po identyfikatorze błędu.

AMLogic

Te luki w zabezpieczeniach wpływają na komponenty AMLogic. Szczegółowe informacje są dostępny bezpośrednio w AMLogic. Ocena wagi tych problemów jest dostarczana bezpośrednio przez firmę AMLogic.

standard CVE Pliki referencyjne Poziom Składnik podrzędny
CVE-2023-48424
A-315373062 * Wysoki Program rozruchowy
CVE-2023-48425
A-319132171 * Wysoki Program rozruchowy

Wysięgnik

Te luki w zabezpieczeniach wpływają na komponenty Arm. Więcej szczegółów jest dostępnych prosto od Arm. Ocena wagi tych problemów jest przekazywana bezpośrednio przez Arm.

standard CVE Pliki referencyjne Poziom Składnik podrzędny
CVE-2023-6143
A-316197619 * Wysoki Mali
CVE-2023-6241
A-316206835 * Wysoki Mali

Komponenty MediaTek

Te luki w zabezpieczeniach wpływają na komponenty MediaTek. Szczegółowe informacje są bezpośrednio w MediaTek. Ocena wagi tych problemów jest przekazywana bezpośrednio przez MediaTek.

standard CVE Pliki referencyjne Poziom Składnik podrzędny
CVE-2024–20005
A-318303317
M-ALPS08355599 *
Wysoki da
CVE-2024–20022
A-318302377
M-ALPS08528255 *
Wysoki lk
CVE-2024–20023
A-318302378
M-ALPS08541638 *
Wysoki Flashc
CVE-2024–20024
A-318316114
M-ALPS08541635 *
Wysoki Flashc
CVE-2024–20025
A-318316115
M-ALPS08541686 *
Wysoki da
CVE-2024–20027
A-318316117
M-ALPS08541632 *
Wysoki da
CVE-2024–20028
A-318310276
M-ALPS08541632 *
Wysoki da
CVE-2024–20020
A-318302372
M-ALPS08522504 *
Wysoki OPTYMISTYCZNY
CVE-2024–20026
A-318310274
M-ALPS08541632 *
Wysoki da

Komponenty Qualcomm

Te luki w zabezpieczeniach mają wpływ na komponenty Qualcomm i zostały opisane poniżej w odpowiednim biuletynie o zabezpieczeniach Qualcomm lub alercie bezpieczeństwa. Ocena wagi tych problemów jest dostarczana bezpośrednio przez firmę Qualcomm.

standard CVE Pliki referencyjne Poziom Składnik podrzędny
CVE-2023-43546
314790498
QC-CR#3602482
Wysoki Bezpieczeństwo
CVE-2023-43547
A-314791076
QC-CR#3602462 [2]
Wysoki Bezpieczeństwo
CVE-2023-43550
A-314791623
QC-CR#3595842
Wysoki Jądro
CVE-2023-43552
A-314791054
QC-CR#3583521
Wysoki WLAN
CVE-2023-43553
A-314791341
QC-CR#3580821
Wysoki WLAN

Komponenty Qualcomm typu open source

Te luki w zabezpieczeniach mają wpływ na komponenty typu open source Qualcomm i są zostały opisane szczegółowo w odpowiednim biuletynie o zabezpieczeniach Qualcomm lub alertu bezpieczeństwa. Ocena wagi tych problemów jest dostarczana bezpośrednio przez firmę Qualcomm.

standard CVE Pliki referencyjne Poziom Składnik podrzędny
CVE-2023-28578
A-285902353 * Krytyczny Komponent typu open source
CVE-2023-33042
A-295039320 * Wysoki Komponent typu open source
CVE-2023-33066
A-303101493 * Wysoki Komponent typu open source
CVE-2023-33105
314790953 * Wysoki Komponent typu open source
CVE-2023-43539
A-314791241 * Wysoki Komponent typu open source
CVE-2023-43548
314790932 * Wysoki Komponent typu open source
CVE-2023-43549
A-314791266 * Wysoki Komponent typu open source

Częste pytania i odpowiedzi

W tej sekcji znajdziesz odpowiedzi na najczęstsze pytania, które mogą pojawić się po przeczytaniu tej sekcji biuletyn.

1. Jak sprawdzić, czy moje urządzenie zostało zaktualizowane, by rozwiązać te problemy?

Aby dowiedzieć się, jak sprawdzić stan aktualizacji zabezpieczeń urządzenia, zobacz Aktualizowanie Androida i sprawdzanie jego wersji

  • Stan aktualizacji zabezpieczeń z adresu z 1 marca 2024 r. lub nowszego wszystkie problemy związane z poprawką zabezpieczeń z 1 marca 2024 r. na poziomie 300%.
  • Stan aktualizacji zabezpieczeń z adresu z 5 marca 2024 r. lub nowszego wszystkie problemy związane z poprawką zabezpieczeń z 5 marca 2024 r. i wszystkich poprzednich poziomach poprawek.

Producenci urządzeń, którzy uwzględniają te aktualizacje, powinni ustawić ciąg poprawki na poziomie:

  • [ro.build.version.security_patch]:[1.03.2024]
  • [ro.build.version.security_patch]:[5.03.2024]

Na niektórych urządzeniach z Androidem 10 lub nowszym aktualizacja systemowa Google Play będzie miał ciąg daty pasujący do ciągu 1.03.2024 i aktualizacji zabezpieczeń. W tym artykule znajdziesz więcej informacji o tym, jak instalowanie aktualizacji zabezpieczeń.

2. Dlaczego ten biuletyn ma dwa poziomy poprawek zabezpieczeń?

Ten biuletyn ma dwa poziomy poprawek zabezpieczeń, dzięki czemu partnerzy Androida elastyczności w usuwaniu podzbioru luk w zabezpieczeniach, które są podobne we wszystkich szybsze działanie urządzeń z Androidem, Partnerzy zajmujący się Androidem powinni naprawić wszystkie problemów w tym biuletynie i użyć najnowszego poziomu poprawek zabezpieczeń.

  • Urządzenia korzystające ze stanu aktualizacji zabezpieczeń 1 marca 2024 r. musi obejmować wszystkie problemy związane z danym poziomem poprawek zabezpieczeń, a także jako zawiera poprawki wszystkich problemów zgłoszonych w poprzednich biuletynach o zabezpieczeniach.
  • Urządzenia korzystające z poprawek zabezpieczeń z 5 marca 2024 r. lub nowsza musi zawierać wszystkie odpowiednie poprawki w tym (i poprzednim) zabezpieczeniach biuletyny.

Zachęcamy partnerów, aby połączyli rozwiązania wszystkich problemów w pakiecie w ramach jednej aktualizacji.

3. Co oznaczają wpisy w kolumnie Typ?

Wpisy w kolumnie Typ w tabeli z informacjami o luce w zabezpieczeniach klasyfikację luki w zabezpieczeniach.

Skrót Definicja
RCE Zdalne wykonywanie kodu
eksploatacja Podniesienie uprawnień
ID Ujawnianie informacji
ataki typu DoS Atak typu DoS
Nie dotyczy Klasyfikacja niedostępna

4. Co oznaczają wpisy w kolumnie Pliki referencyjne?

Wpisy w kolumnie Pliki referencyjne w szczegółach luki w zabezpieczeniach tabela może zawierać prefiks identyfikujący organizację, do której odniesienie wartość.

Prefiks Źródła wiedzy
A- Identyfikator błędu Androida
QC- Numer referencyjny Qualcomm
M Numer referencyjny MediaTek
Pn Numer referencyjny NVIDIA
B- Numer referencyjny Broadcom
U Numer referencyjny UNISOC

5. Co oznacza symbol * obok identyfikatora błędu Androida w dokumentacji średnia z kolumny?

Problemy, które nie są dostępne publicznie, są oznaczone symbolem * przy odpowiednich identyfikator referencyjny. Aktualizacja tego problemu zazwyczaj znajduje się w najnowszych sterowników binarnych dla urządzeń Pixel dostępnych w Google Witryna dla deweloperów.

6. Dlaczego luki w zabezpieczeniach zostały podzielone między ten biuletyn a biuletyny o zabezpieczeniach urządzeń / partnerów, takie jak Chcesz użyć newslettera Pixela?

Luki w zabezpieczeniach opisane w tym biuletynie wymagane do zadeklarowania najnowszego poziomu poprawek zabezpieczeń na Androidzie urządzenia. Dodatkowe luki w zabezpieczeniach, które są opisane w Biuletyny bezpieczeństwa urządzenia / partnera nie są wymagane w przypadku zadeklarowanie poziomu aktualizacji zabezpieczeń. Producenci urządzeń i chipsetów z Androidem mogą też publikować szczegółowe informacje o lukach w zabezpieczeniach swoich produktów, na przykład Google Huawei LGE Motorola Nokia, lub Samsung.

Wersje

Wersja Data Uwagi
1,0 4 marca 2024 r. Opublikowano biuletyn.
1,1 29 lipca 2024 r. Zaktualizowano tabele CVE.