Boletín de seguridad de Android de marzo de 2024

Publicado el 4 de marzo de 2024 | Actualizado el 29 de julio de 2024

El Boletín de seguridad de Android contiene detalles sobre las vulnerabilidades de seguridad que afectan a los dispositivos Android. Los niveles de parches de seguridad 2024-03-05 o posterior abordar todos estos problemas. Para obtener información sobre cómo comprobar el nivel de parche de seguridad de un dispositivo, consulta Consulta y actualiza tu versión de Android.

Los socios de Android reciben notificaciones de todos los problemas al menos un mes antes. publicación. Se lanzaron parches de código fuente para estos problemas en la biblioteca Open Android Open. Proyecto fuente (AOSP) y vinculado desde este boletín. Este boletín también incluye vínculos a parches fuera del AOSP.

El más grave de estos problemas es una vulnerabilidad de seguridad crítica en el Es un componente del sistema que podría llevar a la ejecución remota de código sin restricciones privilegios de ejecución necesarios. La evaluación de gravedad se basa en el efecto que que podría aprovechar la vulnerabilidad en un dispositivo afectado, suponiendo que las mitigaciones de la plataforma y los servicios estén desactivadas para el desarrollo, o si se puede omitir con éxito.

Consulta el artículo Android y Google Play Protect la sección de mitigaciones para obtener detalles sobre la Plataforma de seguridad de Android de seguridad y Google Play Protect, que mejoran la seguridad de la plataforma de Android.

Servicio de Android y Google mitigaciones

Este es un resumen de las mitigaciones que ofrece la Plataforma de seguridad de Android y protecciones de servicios, como Google Play Protect. Estas capacidades reducen el más probabilidades de que las vulnerabilidades de seguridad se aprovechen con éxito en Android.

  • La explotación de muchos problemas en Android se dificulta más en versiones más recientes de la plataforma de Android. Alentamos a todos usuarios para actualizar a la versión más reciente de Android cuando sea posible.
  • El equipo de seguridad de Android supervisa activamente los abusos mediante Google Play Protect y advierte a los usuarios sobre Posiblemente Aplicaciones dañinas. Google Play Protect está habilitado de forma predeterminada en dispositivos con Google Dispositivo móvil de Google Cloud y es especialmente importante para los usuarios que instalan apps de fuera de Google Play.

1/3/2024 detalles de vulnerabilidades a nivel de parche de seguridad

En las siguientes secciones, proporcionamos detalles sobre cada una de las vulnerabilidades que se aplican al nivel de parche 1/3/2024. Las vulnerabilidades se agrupan bajo el componente que afectan. Los problemas se describen en las siguientes tablas e incluyen el ID de CVE, asociado referencias, tipo de vulnerabilidad, gravedad, y versiones actualizadas del AOSP (si corresponde). Cuando esté disponible, vincularemos el cambio público que solucionó el problema a la ID de errores, como la lista de cambios de AOSP. Cuando varios cambios se relacionan con un solo error, las referencias adicionales son se vinculan a números después del ID del error. Los dispositivos con Android 10 y versiones posteriores pueden recibir actualizaciones de seguridad, así como Google Reproducir las actualizaciones del sistema.

Framework

La vulnerabilidad más grave en esta sección podría conducir a una derivación local. sin privilegios de ejecución adicionales.

CVE Referencias Tipo Gravedad Versiones del AOSP actualizadas
CVE‐2024‐0046 A‐299441833 Fin Alto 12, 12L, 13 y 14
CVE‐2024‐0048 A‐316893159 Fin Alto 12, 12L, 13 y 14
CVE‐2024‐0049 A‐273936274 Fin Alto 12, 12L, 13 y 14
CVE‐2024‐0050 A‐273935108 Fin Alto 12, 12L, 13 y 14
CVE‐2024‐0051 A‐276442130 Fin Alto 12, 12L, 13 y 14
CVE‐2024‐0053 A‐281525042 ID Alto 12, 12L, 13 y 14
CVE‐2024‐0047 A‐311687929 [2] [3] DoS Alto 14

Sistema

La vulnerabilidad más grave de esta sección podría generar código remoto ejecución sin privilegios de ejecución adicionales.

CVE Referencias Tipo Gravedad Versiones del AOSP actualizadas
CVE‐2024‐0039 A‐295887535 [2] [3] RCE Crítico 12, 12L, 13 y 14
CVE‐2024‐23717 A‐318374503 Fin Crítico 12, 12L, 13 y 14
CVE‐2023‐40081 A‐284297452 ID Alto 12, 12L, 13 y 14
CVE‐2024‐0045 A‐300903400 ID Alto 12, 12L, 13 y 14
CVE‐2024‐0052 A‐303871379 ID Alto 14

Actualizaciones del sistema de Google Play

No se solucionaron problemas de seguridad en las actualizaciones del sistema de Google Play (Project Mainline) este mes.

05-03-2024 detalles de vulnerabilidades a nivel de parche de seguridad

En las siguientes secciones, proporcionamos detalles sobre cada una de las vulnerabilidades que se aplican al nivel de parche 05/03/2024. Las vulnerabilidades se agrupan bajo el componente que afectan. Los problemas se describen en las siguientes tablas e incluyen el ID de CVE, asociado referencias, tipo de vulnerabilidad, gravedad, y versiones actualizadas del AOSP (si corresponde). Cuando esté disponible, vincularemos el cambio público que solucionó el problema a la ID de errores, como la lista de cambios de AOSP. Cuando varios cambios se relacionan con un solo error, las referencias adicionales son se vinculan a números después del ID del error.

AMLogic

Estas vulnerabilidades afectan a los componentes de AMLogic y se dispone de más detalles disponible directamente en AMLogic. AMLogic proporciona directamente la evaluación de la gravedad de estos problemas.

CVE Referencias Gravedad Subcomponente
CVE-2023-48424
A-315373062 * Alto Bootloader
CVE-2023-48425
A-319132171 * Alto Bootloader

Componentes de ARM

Estas vulnerabilidades afectan los componentes de Arm y hay más detalles disponibles directamente desde Arm. Arm proporciona directamente la evaluación de la gravedad de estos problemas.

CVE Referencias Gravedad Subcomponente
CVE-2023-6143
A-316197619 * Alto Mali
CVE-2023-6241
A-316206835 * Alto Mali

Componentes de MediaTek

Estas vulnerabilidades afectan a los componentes de MediaTek y se dispone de más detalles disponible directamente en MediaTek. MediaTek se encarga directamente de la evaluación de la gravedad de estos problemas.

CVE Referencias Gravedad Subcomponente
CVE‐2024‐20005
A-318303317
M-ALPS08355599 *
Alto da
CVE‐2024‐20022
A-318302377
M-ALPS08528255 *
Alto lk
CVE‐2024‐20023
A-318302378
M-ALPS08541638 *
Alto Memoria flash
CVE‐2024‐20024
A-318316114
M-ALPS08541635 *
Alto Memoria flash
CVE‐2024‐20025
A-318316115
M-ALPS08541686 *
Alto da
CVE‐2024‐20027
A-318316117
M-ALPS08541632 *
Alto da
CVE‐2024‐20028
A-318310276
M-ALPS08541632 *
Alto da
CVE‐2024‐20020
A-318302372
M-ALPS08522504 *
Alto OPTIMIZACIÓN
CVE‐2024‐20026
A-318310274
M-ALPS08541632 *
Alto da

Componentes de Qualcomm

Estas vulnerabilidades afectan a los componentes de Qualcomm y se describen en más detalle en el boletín de seguridad o en la alerta de seguridad de Qualcomm. Qualcomm proporciona directamente la evaluación de la gravedad de estos problemas.

CVE Referencias Gravedad Subcomponente
CVE-2023-43546
A-314790498
QC-CR n.o 3602482
Alto Seguridad
CVE-2023-43547
A-314791076
QC-CR n.o 3602462 [2]
Alto Seguridad
CVE-2023-43550
A-314791623
QC-CR n.o 3595842
Alto Kernel
CVE-2023-43552
A-314791054
QC-CR n.o 3583521
Alto WLAN
CVE-2023-43553
A-314791341
QC-CR n.o 3580821
Alto WLAN

Componentes de código cerrado de Qualcomm

Estas vulnerabilidades afectan a los componentes de código cerrado de Qualcomm y son se describen con más detalle en el boletín de seguridad de Qualcomm o en los alerta de seguridad. Qualcomm proporciona directamente la evaluación de la gravedad de estos problemas.

CVE Referencias Gravedad Subcomponente
CVE-2023-28578
A-285902353 * Crítico Componente de código cerrado
CVE-2023-33042
A‐295039320 * Alto Componente de código cerrado
CVE-2023-33066
A-303101493 * Alto Componente de código cerrado
CVE-2023-33105
A-314790953 * Alto Componente de código cerrado
CVE-2023-43539
A-314791241 * Alto Componente de código cerrado
CVE-2023-43548
A-314790932 * Alto Componente de código cerrado
CVE-2023-43549
A-314791266 * Alto Componente de código cerrado

Preguntas y respuestas frecuentes

En esta sección, se responden preguntas comunes que pueden surgir después de leer esta en el boletín informativo.

1. ¿Cómo puedo determinar si mi dispositivo está actualizado para abordar estas situaciones? problemas?

Para obtener información sobre cómo comprobar el nivel de parche de seguridad de un dispositivo, consulta Consulta y actualiza tu versión de Android.

  • Niveles de parche de seguridad del 1/3/2024 o una dirección posterior todos los problemas asociados con el parche de seguridad del 1/3/2024 a nivel de organización.
  • Niveles de parche de seguridad del 2024-03-05 o una dirección posterior todos los problemas asociados con el parche de seguridad del 05/03/2024 de seguridad y todos los niveles de parche anteriores.

Los fabricantes de dispositivos que incluyan estas actualizaciones deben establecer la cadena de parche. nivel para:

  • [ro.build.version.security_patch]:[2024-03-01]
  • [ro.build.version.security_patch]:[2024-03-05]

En algunos dispositivos con Android 10 o versiones posteriores, la actualización del sistema de Google Play tendrá una cadena de fecha que coincida con el período a nivel de parche de seguridad. Consulta este artículo para obtener más detalles sobre cómo instalar actualizaciones de seguridad.

2. ¿Por qué este boletín tiene dos niveles de parches de seguridad?

Este boletín tiene dos niveles de parches de seguridad para que los socios de Android tengan el la flexibilidad para corregir un subconjunto de vulnerabilidades que son similares en todas dispositivos Android más rápido. Se recomienda a los socios de Android que corrijan todo problemas en este boletín y usar el último nivel de parche de seguridad.

  • Dispositivos que usan el nivel de parche de seguridad del 1/3/2024 debe incluir todos los problemas asociados con ese nivel de parche de seguridad, así como como correcciones para todos los problemas informados en boletines de seguridad anteriores.
  • Dispositivos que usan el nivel de parche de seguridad del 5/3/2024 o versiones posteriores deben incluir todos los parches aplicables de esta seguridad (y las anteriores) boletines.

Se recomienda a los socios que agrupen las correcciones para todos los problemas que abordar en una sola actualización.

3. ¿Qué significan las entradas en la columna Tipo?

Entradas en la columna Tipo de la tabla de detalles de la vulnerabilidad hacer referencia a la clasificación de la vulnerabilidad de seguridad.

Abreviatura Definición
RCE Ejecución de código remoto
Fin Elevación de privilegio
ID Divulgación de información
DoS Denegación del servicio
N/A Clasificación no disponible

4. ¿Qué significan las entradas en la columna Referencias?

Entradas en la columna Referencias de los detalles de la vulnerabilidad puede contener un prefijo que identifique la organización a la que referencia .

Prefijo Referencia
A- ID de error de Android
Control de calidad- Número de referencia de Qualcomm
M- Número de referencia de MediaTek
N- Número de referencia de NVIDIA
B- Número de referencia de Broadcom
U- Número de referencia de la UNISOC

5. ¿Qué significa un * junto al ID de error de Android en las Referencias la media de la columna?

Las ediciones que no están disponibles públicamente tienen un * junto a la ID de referencia. La actualización de ese problema suele estar incluida en la versión más reciente. controladores binarios para dispositivos Pixel disponibles en la Google Sitio para desarrolladores.

6. ¿Por qué las vulnerabilidades de seguridad se dividen entre este boletín y boletines de seguridad del dispositivo / socio, como el Boletín informativo de Pixel?

Las vulnerabilidades de seguridad documentadas en este boletín de seguridad son necesario para declarar el nivel de parche de seguridad más reciente en Android dispositivos. Vulnerabilidades de seguridad adicionales documentadas en el los boletines de seguridad del dispositivo / socio no son necesarios para declarando un nivel de parche de seguridad. Fabricantes de dispositivos Android y chipsset también pueden publicar detalles de vulnerabilidades de seguridad específicos de sus productos, como, por ejemplo, Google: Huawei LGE, Motorola, Nokia o Samsung.

Versiones

Versión Fecha Notas
1.0 4 de marzo de 2024 Se publicó el boletín.
1.1 29 de julio de 2024 Se actualizaron las tablas de CVE.