El Boletín de seguridad de Android contiene detalles sobre las vulnerabilidades de seguridad que afectan a los dispositivos Android. Los niveles de parches de seguridad 2024-03-05 o posterior abordar todos estos problemas. Para obtener información sobre cómo comprobar el nivel de parche de seguridad de un dispositivo, consulta Consulta y actualiza tu versión de Android.
Los socios de Android reciben notificaciones de todos los problemas al menos un mes antes. publicación. Se lanzaron parches de código fuente para estos problemas en la biblioteca Open Android Open. Proyecto fuente (AOSP) y vinculado desde este boletín. Este boletín también incluye vínculos a parches fuera del AOSP.
El más grave de estos problemas es una vulnerabilidad de seguridad crítica en el Es un componente del sistema que podría llevar a la ejecución remota de código sin restricciones privilegios de ejecución necesarios. La evaluación de gravedad se basa en el efecto que que podría aprovechar la vulnerabilidad en un dispositivo afectado, suponiendo que las mitigaciones de la plataforma y los servicios estén desactivadas para el desarrollo, o si se puede omitir con éxito.
Consulta el artículo Android y Google Play Protect la sección de mitigaciones para obtener detalles sobre la Plataforma de seguridad de Android de seguridad y Google Play Protect, que mejoran la seguridad de la plataforma de Android.
Servicio de Android y Google mitigaciones
Este es un resumen de las mitigaciones que ofrece la Plataforma de seguridad de Android y protecciones de servicios, como Google Play Protect. Estas capacidades reducen el más probabilidades de que las vulnerabilidades de seguridad se aprovechen con éxito en Android.
- La explotación de muchos problemas en Android se dificulta más en versiones más recientes de la plataforma de Android. Alentamos a todos usuarios para actualizar a la versión más reciente de Android cuando sea posible.
- El equipo de seguridad de Android supervisa activamente los abusos mediante Google Play Protect y advierte a los usuarios sobre Posiblemente Aplicaciones dañinas. Google Play Protect está habilitado de forma predeterminada en dispositivos con Google Dispositivo móvil de Google Cloud y es especialmente importante para los usuarios que instalan apps de fuera de Google Play.
1/3/2024 detalles de vulnerabilidades a nivel de parche de seguridad
En las siguientes secciones, proporcionamos detalles sobre cada una de las vulnerabilidades que se aplican al nivel de parche 1/3/2024. Las vulnerabilidades se agrupan bajo el componente que afectan. Los problemas se describen en las siguientes tablas e incluyen el ID de CVE, asociado referencias, tipo de vulnerabilidad, gravedad, y versiones actualizadas del AOSP (si corresponde). Cuando esté disponible, vincularemos el cambio público que solucionó el problema a la ID de errores, como la lista de cambios de AOSP. Cuando varios cambios se relacionan con un solo error, las referencias adicionales son se vinculan a números después del ID del error. Los dispositivos con Android 10 y versiones posteriores pueden recibir actualizaciones de seguridad, así como Google Reproducir las actualizaciones del sistema.
Framework
La vulnerabilidad más grave en esta sección podría conducir a una derivación local. sin privilegios de ejecución adicionales.
| CVE | Referencias | Tipo | Gravedad | Versiones del AOSP actualizadas |
|---|---|---|---|---|
| CVE‐2024‐0046 | A‐299441833 | Fin | Alto | 12, 12L, 13 y 14 |
| CVE‐2024‐0048 | A‐316893159 | Fin | Alto | 12, 12L, 13 y 14 |
| CVE‐2024‐0049 | A‐273936274 | Fin | Alto | 12, 12L, 13 y 14 |
| CVE‐2024‐0050 | A‐273935108 | Fin | Alto | 12, 12L, 13 y 14 |
| CVE‐2024‐0051 | A‐276442130 | Fin | Alto | 12, 12L, 13 y 14 |
| CVE‐2024‐0053 | A‐281525042 | ID | Alto | 12, 12L, 13 y 14 |
| CVE‐2024‐0047 | A‐311687929 [2] [3] | DoS | Alto | 14 |
Sistema
La vulnerabilidad más grave de esta sección podría generar código remoto ejecución sin privilegios de ejecución adicionales.
| CVE | Referencias | Tipo | Gravedad | Versiones del AOSP actualizadas |
|---|---|---|---|---|
| CVE‐2024‐0039 | A‐295887535 [2] [3] | RCE | Crítico | 12, 12L, 13 y 14 |
| CVE‐2024‐23717 | A‐318374503 | Fin | Crítico | 12, 12L, 13 y 14 |
| CVE‐2023‐40081 | A‐284297452 | ID | Alto | 12, 12L, 13 y 14 |
| CVE‐2024‐0045 | A‐300903400 | ID | Alto | 12, 12L, 13 y 14 |
| CVE‐2024‐0052 | A‐303871379 | ID | Alto | 14 |
Actualizaciones del sistema de Google Play
No se solucionaron problemas de seguridad en las actualizaciones del sistema de Google Play (Project Mainline) este mes.
05-03-2024 detalles de vulnerabilidades a nivel de parche de seguridad
En las siguientes secciones, proporcionamos detalles sobre cada una de las vulnerabilidades que se aplican al nivel de parche 05/03/2024. Las vulnerabilidades se agrupan bajo el componente que afectan. Los problemas se describen en las siguientes tablas e incluyen el ID de CVE, asociado referencias, tipo de vulnerabilidad, gravedad, y versiones actualizadas del AOSP (si corresponde). Cuando esté disponible, vincularemos el cambio público que solucionó el problema a la ID de errores, como la lista de cambios de AOSP. Cuando varios cambios se relacionan con un solo error, las referencias adicionales son se vinculan a números después del ID del error.
AMLogic
Estas vulnerabilidades afectan a los componentes de AMLogic y se dispone de más detalles disponible directamente en AMLogic. AMLogic proporciona directamente la evaluación de la gravedad de estos problemas.
| CVE | Referencias | Gravedad | Subcomponente |
|---|---|---|---|
| CVE-2023-48424 |
A-315373062 * | Alto | Bootloader |
| CVE-2023-48425 |
A-319132171 * | Alto | Bootloader |
Componentes de ARM
Estas vulnerabilidades afectan los componentes de Arm y hay más detalles disponibles directamente desde Arm. Arm proporciona directamente la evaluación de la gravedad de estos problemas.
| CVE | Referencias | Gravedad | Subcomponente |
|---|---|---|---|
| CVE-2023-6143 |
A-316197619 * | Alto | Mali |
| CVE-2023-6241 |
A-316206835 * | Alto | Mali |
Componentes de MediaTek
Estas vulnerabilidades afectan a los componentes de MediaTek y se dispone de más detalles disponible directamente en MediaTek. MediaTek se encarga directamente de la evaluación de la gravedad de estos problemas.
| CVE | Referencias | Gravedad | Subcomponente |
|---|---|---|---|
| CVE‐2024‐20005 |
A-318303317
M-ALPS08355599 * |
Alto | da |
| CVE‐2024‐20022 |
A-318302377
M-ALPS08528255 * |
Alto | lk |
| CVE‐2024‐20023 |
A-318302378
M-ALPS08541638 * |
Alto | Memoria flash |
| CVE‐2024‐20024 |
A-318316114
M-ALPS08541635 * |
Alto | Memoria flash |
| CVE‐2024‐20025 |
A-318316115
M-ALPS08541686 * |
Alto | da |
| CVE‐2024‐20027 |
A-318316117
M-ALPS08541632 * |
Alto | da |
| CVE‐2024‐20028 |
A-318310276
M-ALPS08541632 * |
Alto | da |
| CVE‐2024‐20020 |
A-318302372
M-ALPS08522504 * |
Alto | OPTIMIZACIÓN |
| CVE‐2024‐20026 |
A-318310274
M-ALPS08541632 * |
Alto | da |
Componentes de Qualcomm
Estas vulnerabilidades afectan a los componentes de Qualcomm y se describen en más detalle en el boletín de seguridad o en la alerta de seguridad de Qualcomm. Qualcomm proporciona directamente la evaluación de la gravedad de estos problemas.
| CVE | Referencias | Gravedad | Subcomponente |
|---|---|---|---|
| CVE-2023-43546 |
A-314790498
QC-CR n.o 3602482 |
Alto | Seguridad |
| CVE-2023-43547 |
A-314791076
QC-CR n.o 3602462 [2] |
Alto | Seguridad |
| CVE-2023-43550 |
A-314791623
QC-CR n.o 3595842 |
Alto | Kernel |
| CVE-2023-43552 |
A-314791054
QC-CR n.o 3583521 |
Alto | WLAN |
| CVE-2023-43553 |
A-314791341
QC-CR n.o 3580821 |
Alto | WLAN |
Componentes de código cerrado de Qualcomm
Estas vulnerabilidades afectan a los componentes de código cerrado de Qualcomm y son se describen con más detalle en el boletín de seguridad de Qualcomm o en los alerta de seguridad. Qualcomm proporciona directamente la evaluación de la gravedad de estos problemas.
| CVE | Referencias | Gravedad | Subcomponente |
|---|---|---|---|
| CVE-2023-28578 |
A-285902353 * | Crítico | Componente de código cerrado |
| CVE-2023-33042 |
A‐295039320 * | Alto | Componente de código cerrado |
| CVE-2023-33066 |
A-303101493 * | Alto | Componente de código cerrado |
| CVE-2023-33105 |
A-314790953 * | Alto | Componente de código cerrado |
| CVE-2023-43539 |
A-314791241 * | Alto | Componente de código cerrado |
| CVE-2023-43548 |
A-314790932 * | Alto | Componente de código cerrado |
| CVE-2023-43549 |
A-314791266 * | Alto | Componente de código cerrado |
Preguntas y respuestas frecuentes
En esta sección, se responden preguntas comunes que pueden surgir después de leer esta en el boletín informativo.
1. ¿Cómo puedo determinar si mi dispositivo está actualizado para abordar estas situaciones? problemas?
Para obtener información sobre cómo comprobar el nivel de parche de seguridad de un dispositivo, consulta Consulta y actualiza tu versión de Android.
- Niveles de parche de seguridad del 1/3/2024 o una dirección posterior todos los problemas asociados con el parche de seguridad del 1/3/2024 a nivel de organización.
- Niveles de parche de seguridad del 2024-03-05 o una dirección posterior todos los problemas asociados con el parche de seguridad del 05/03/2024 de seguridad y todos los niveles de parche anteriores.
Los fabricantes de dispositivos que incluyan estas actualizaciones deben establecer la cadena de parche. nivel para:
- [ro.build.version.security_patch]:[2024-03-01]
- [ro.build.version.security_patch]:[2024-03-05]
En algunos dispositivos con Android 10 o versiones posteriores, la actualización del sistema de Google Play tendrá una cadena de fecha que coincida con el período a nivel de parche de seguridad. Consulta este artículo para obtener más detalles sobre cómo instalar actualizaciones de seguridad.
2. ¿Por qué este boletín tiene dos niveles de parches de seguridad?
Este boletín tiene dos niveles de parches de seguridad para que los socios de Android tengan el la flexibilidad para corregir un subconjunto de vulnerabilidades que son similares en todas dispositivos Android más rápido. Se recomienda a los socios de Android que corrijan todo problemas en este boletín y usar el último nivel de parche de seguridad.
- Dispositivos que usan el nivel de parche de seguridad del 1/3/2024 debe incluir todos los problemas asociados con ese nivel de parche de seguridad, así como como correcciones para todos los problemas informados en boletines de seguridad anteriores.
- Dispositivos que usan el nivel de parche de seguridad del 5/3/2024 o versiones posteriores deben incluir todos los parches aplicables de esta seguridad (y las anteriores) boletines.
Se recomienda a los socios que agrupen las correcciones para todos los problemas que abordar en una sola actualización.
3. ¿Qué significan las entradas en la columna Tipo?
Entradas en la columna Tipo de la tabla de detalles de la vulnerabilidad hacer referencia a la clasificación de la vulnerabilidad de seguridad.
| Abreviatura | Definición |
|---|---|
| RCE | Ejecución de código remoto |
| Fin | Elevación de privilegio |
| ID | Divulgación de información |
| DoS | Denegación del servicio |
| N/A | Clasificación no disponible |
4. ¿Qué significan las entradas en la columna Referencias?
Entradas en la columna Referencias de los detalles de la vulnerabilidad puede contener un prefijo que identifique la organización a la que referencia .
| Prefijo | Referencia |
|---|---|
| A- | ID de error de Android |
| Control de calidad- | Número de referencia de Qualcomm |
| M- | Número de referencia de MediaTek |
| N- | Número de referencia de NVIDIA |
| B- | Número de referencia de Broadcom |
| U- | Número de referencia de la UNISOC |
5. ¿Qué significa un * junto al ID de error de Android en las Referencias la media de la columna?
Las ediciones que no están disponibles públicamente tienen un * junto a la ID de referencia. La actualización de ese problema suele estar incluida en la versión más reciente. controladores binarios para dispositivos Pixel disponibles en la Google Sitio para desarrolladores.
6. ¿Por qué las vulnerabilidades de seguridad se dividen entre este boletín y boletines de seguridad del dispositivo / socio, como el Boletín informativo de Pixel?
Las vulnerabilidades de seguridad documentadas en este boletín de seguridad son necesario para declarar el nivel de parche de seguridad más reciente en Android dispositivos. Vulnerabilidades de seguridad adicionales documentadas en el los boletines de seguridad del dispositivo / socio no son necesarios para declarando un nivel de parche de seguridad. Fabricantes de dispositivos Android y chipsset también pueden publicar detalles de vulnerabilidades de seguridad específicos de sus productos, como, por ejemplo, Google: Huawei LGE, Motorola, Nokia o Samsung.
Versiones
| Versión | Fecha | Notas |
|---|---|---|
| 1.0 | 4 de marzo de 2024 | Se publicó el boletín. |
| 1.1 | 29 de julio de 2024 | Se actualizaron las tablas de CVE. |