Bulletin sur la sécurité d'Android – Mars 2024

Publié le 4 mars 2024 | Mis à jour le 29 juillet 2024

Le bulletin sur la sécurité d'Android contient des informations sur les failles de sécurité affectant les appareils Android. Niveaux du correctif de sécurité à partir du 5 mars 2024. Pour savoir comment vérifier le niveau du correctif de sécurité d'un appareil, consultez Vérifiez la version d'Android installée et mettez-la à jour.

Les partenaires Android sont informés de tous les problèmes au moins un mois à l'avance. publication. Les correctifs du code source pour ces problèmes ont été publiés dans l'Android Open dépôt du projet source (AOSP), accessible à partir de ce bulletin. Ce bulletin inclut également des liens vers des correctifs en dehors d’AOSP.

Le plus grave de ces problèmes est une faille de sécurité critique dans le Composant système susceptible d'entraîner l'exécution de code à distance sans frais supplémentaires droits d'exécution requis. L'évaluation de la gravité est basée sur l'effet l’exploitation de la vulnérabilité aurait peut-être sur un appareil affecté, en supposant que les mesures d'atténuation des risques liés à la plate-forme et aux services sont désactivées pour le développement ou en cas de contournement réussi.

Reportez-vous à la documentation Android et Google Play Protect des stratégies d'atténuation pour en savoir plus Plate-forme de sécurité Android ces protections et Google Play Protect, qui améliorent la sécurité de la plate-forme Android.

Service Android et Google mesures d'atténuation

Il s'agit d'un récapitulatif des mesures d'atténuation proposées par le Plate-forme de sécurité Android et des protections de service, Google Play Protect : Ces fonctionnalités réduisent la probabilité que les failles de sécurité puissent être exploitées sur Android.

  • L'exploitation de nombreux problèmes sur Android est rendue plus difficile améliorations apportées dans les versions plus récentes de la plate-forme Android. Nous encourageons tous utilisateurs afin de passer à la dernière version d'Android lorsque cela est possible.
  • L'équipe de sécurité Android surveille activement les utilisations abusives grâce à Google Play Nest Protect et avertit les utilisateurs Potentiellement Applications nuisibles. Google Play Protect est activé par défaut sur appareils avec Google Mobile de Google et est particulièrement important pour les utilisateurs qui installent des applications depuis en dehors de Google Play.

01/03/2024 détails de la faille au niveau du correctif de sécurité

Vous trouverez dans les sections ci-dessous des informations détaillées sur chacun des les failles qui s'appliquent au niveau du correctif du 01/03/2024. Les vulnérabilités sont regroupées sous le composant qu'elles affectent. Les problèmes sont décrits dans les tableaux ci-dessous et incluent l'ID de la CVE, références, type de faille, severity, et versions mises à jour d'AOSP (le cas échéant). Le cas échéant, nous associons la modification publique visant à résoudre le problème au ID de bug, comme la liste de modifications AOSP. Lorsque plusieurs modifications portent sur un même bug, les références supplémentaires sont sont associés à des chiffres qui suivent l'ID de bug. Les appareils équipés d'Android 10 ou version ultérieure peuvent recevoir des mises à jour de sécurité, ainsi que : Google Lire les mises à jour du système.

Framework

La faille la plus grave figurant dans cette section pourrait entraîner une escalade au niveau local sans droits d'exécution supplémentaires requis.

CVE Références Type Gravité Versions d'AOSP mises à jour
CVE-2024-0046 A-299441833 EoP Élevée 12, 12L, 13, 14
CVE-2024-0048 A-316893159 EoP Élevée 12, 12L, 13, 14
CVE-2024-0049 A-273936274 EoP Élevée 12, 12L, 13, 14
CVE-2024-0050 A-273935108 EoP Élevée 12, 12L, 13, 14
CVE-2024-0051 A-276442130 EoP Élevée 12, 12L, 13, 14
CVE-2024-0053 A-281525042 ID Élevée 12, 12L, 13, 14
CVE-2024-0047 A-311687929 [2]. [3]. DoS Élevée 14

Système

La faille la plus grave dans cette section pourrait entraîner sans droits d'exécution supplémentaires requis.

CVE Références Type Gravité Versions d'AOSP mises à jour
CVE-2024-0039 A-295887535 [2]. [3]. RCE Critique 12, 12L, 13, 14
CVE-2024-23717 A-318374503 EoP Critique 12, 12L, 13, 14
CVE-2023-40081 A-284297452 ID Élevée 12, 12L, 13, 14
CVE-2024-0045 A-300903400 ID Élevée 12, 12L, 13, 14
CVE-2024-0052 A-303871379 ID Élevée 14

Mises à jour du système Google Play

Aucun problème de sécurité n'est résolu dans les mises à jour du système Google Play (projet Mainline) ce mois-ci.

05/03/2024 détails de la faille au niveau du correctif de sécurité

Vous trouverez dans les sections ci-dessous des informations détaillées sur chacun des les failles qui s'appliquent au niveau du correctif du 05/03/2024. Les vulnérabilités sont regroupées sous le composant qu'elles affectent. Les problèmes sont décrits dans les tableaux ci-dessous et incluent l'ID de la CVE, références, type de faille, severity, et versions mises à jour d'AOSP (le cas échéant). Le cas échéant, nous associons la modification publique visant à résoudre le problème au ID de bug, comme la liste de modifications AOSP. Lorsque plusieurs modifications portent sur un même bug, les références supplémentaires sont sont associés à des chiffres qui suivent l'ID de bug.

AMLogic

Ces failles affectent les composants d'AMLogic. Pour plus d'informations, disponibles directement auprès d'AMLogic. L'évaluation de la gravité de ces problèmes est fournie directement par AMLogic.

CVE Références Gravité Sous-composant
CVE-2023-48424
A-315373062 * Élevée Bootloader (chargeur d'amorçage)
CVE-2023-48425
A-319132171 * Élevée Bootloader (chargeur d'amorçage)

Composants du bras

Ces failles affectent les composants Arm et des informations supplémentaires sont disponibles directement à partir d'ARM. L'évaluation de la gravité de ces problèmes est fournie directement par Arm.

CVE Références Gravité Sous-composant
CVE-2023-6143
A-316197619 * Élevée Mali
CVE-2023-6241
A-316206835 * Élevée Mali

Composants MediaTek

Ces failles affectent les composants MediaTek. Pour en savoir plus, consultez disponibles directement auprès de MediaTek. L'évaluation de la gravité de ces problèmes est fournie directement par MediaTek.

CVE Références Gravité Sous-composant
CVE-2024-20005
A-318303317
M-ALPS08355599 *.
Élevée da
CVE-2024-20022
A-318302377
M-ALPS08528255 *.
Élevée lk
CVE-2024-20023
A-318302378
M-ALPS08541638 *.
Élevée Flash C
CVE-2024-20024
A-318316114
M-ALPS08541635 *.
Élevée Flash C
CVE-2024-20025
A-318316115
M-ALPS08541686 *.
Élevée da
CVE-2024-20027
A-318316117
M-ALPS08541632 *.
Élevée da
CVE-2024-20028
A-318310276
M-ALPS08541632 *.
Élevée da
CVE-2024-20020
A-318302372
M-ALPS08522504 *.
Élevée OPTEE
CVE-2024-20026
A-318310274
M-ALPS08541632 *.
Élevée da

Composants Qualcomm

Ces failles affectent les composants Qualcomm et sont décrites plus en détail dans le bulletin de sécurité Qualcomm ou l'alerte de sécurité appropriés. L'évaluation de la gravité de ces problèmes est assurée directement par Qualcomm.

CVE Références Gravité Sous-composant
CVE-2023-43546
A-314790498
QC-CR#3602482
Élevée Sécurité
CVE-2023-43547
A-314791076
QC-CR#3602462 [2].
Élevée Sécurité
CVE-2023-43550
A-314791623
QC-CR#3595842
Élevée Noyau
CVE-2023-43552
A-314791054
QC-CR#3583521
Élevée WLAN
CVE-2023-43553
A-314791341
QC-CR#3580821
Élevée WLAN

Composants à source fermée Qualcomm

Ces failles affectent les composants à source fermée décrits plus en détail dans le bulletin de sécurité Qualcomm approprié ou alerte de sécurité. L'évaluation de la gravité de ces problèmes est assurée directement par Qualcomm.

CVE Références Gravité Sous-composant
CVE-2023-28578
A-285902353 * Critique Composant à source fermée
CVE-2023-33042
A-295039320 * Élevée Composant à source fermée
CVE-2023-33066
A-303101493 * Élevée Composant à source fermée
CVE-2023-33105
A-314790953 * Élevée Composant à source fermée
CVE-2023-43539
A-314791241 * Élevée Composant à source fermée
CVE-2023-43548
A-314790932 * Élevée Composant à source fermée
CVE-2023-43549
A-314791266 * Élevée Composant à source fermée

Questions fréquentes et réponses

Cette section répond aux questions fréquentes que l'on peut se poser après la lecture de ce .

1. Comment savoir si mon appareil a été mis à jour pour répondre à ces problèmes ? ces problèmes ?

Pour savoir comment vérifier le niveau du correctif de sécurité d'un appareil, consultez Vérifiez la version d'Android installée et mettez-la à jour.

  • Niveau du correctif de sécurité à partir du 01/03/2024 ou à partir de l'adresse tous les problèmes associés au correctif de sécurité du 01/03/2024 d'application.
  • Niveau du correctif de sécurité à partir du 05/03/2024 ou à partir de l'adresse tous les problèmes associés au correctif de sécurité du 05/03/2024 et tous les niveaux de correctif précédents.

Les fabricants d'appareils qui intègrent ces mises à jour doivent définir la chaîne patch au niveau suivant:

  • [ro.build.version.security_patch]:[01/03/2024]
  • [ro.build.version.security_patch]:[05/03/2024]

Pour certains appareils équipés d'Android 10 ou version ultérieure, la mise à jour du système Google Play aura une chaîne de date qui correspond au du correctif de sécurité. Veuillez consulter cet article pour découvrir comment installer les mises à jour de sécurité.

2. Pourquoi ce bulletin comporte-t-il deux niveaux de correctif de sécurité ?

Ce bulletin comporte deux niveaux de correctif de sécurité afin que les partenaires Android la de corriger un sous-ensemble de vulnérabilités similaires les appareils Android plus rapidement. Nous encourageons les partenaires Android à corriger problèmes dans ce bulletin et utilisez le dernier niveau du correctif de sécurité.

  • Appareils utilisant le correctif de sécurité du 01/03/2024 doit inclure tous les problèmes associés à ce niveau de correctif de sécurité, ainsi que en tant que des correctifs pour tous les problèmes signalés dans les bulletins de sécurité précédents.
  • Appareils utilisant le niveau du correctif de sécurité du 05/03/2024 ou une version plus récente doivent inclure tous les correctifs applicables à cette sécurité (et aux précédentes) et les bulletins.

Les partenaires sont encouragés à regrouper les correctifs pour tous les problèmes qu'ils rencontrent. en une seule mise à jour.

3. Que signifient les entrées de la colonne Type ?

Entrées de la colonne Type de la table "Informations sur les failles" faire référence à la classification de la faille de sécurité.

Abréviation Définition
RCE Exécution de code à distance
EoP Élévation de privilèges
ID Divulgation d'informations
DoS Déni de service
N/A Classification non disponible

4. Que signifient les entrées de la colonne Références ?

Entrées de la colonne Références dans les détails des failles peut contenir un préfixe identifiant l'organisation à laquelle référence valeur.

Préfixe Référence
A- ID de bug Android
QC – Numéro de référence Qualcomm
L- Numéro de référence MediaTek
N- Numéro de référence NVIDIA
B- Numéro de référence Broadcom
U- Numéro de référence UNISOC

5. Que signifie un * à côté de l'ID de bug Android dans les références ? moyenne de cette colonne ?

Les numéros non disponibles publiquement sont signalés par un astérisque (*) à côté du nom ID de référence. La mise à jour de ce problème est généralement contenue dans le dernier pilotes binaires pour les appareils Pixel disponibles sur Google site pour les développeurs.

6. Pourquoi les failles de sécurité sont-elles réparties entre ce bulletin et les bulletins de sécurité des appareils ou des partenaires, tels que Bulletin Pixel ?

Les failles de sécurité documentées dans ce bulletin de sécurité sont Vous devez déclarer le dernier niveau du correctif de sécurité sur Android appareils. D'autres failles de sécurité documentées dans le les bulletins de sécurité de l'appareil / du partenaire ne sont pas nécessaires pour déclarer un niveau de correctif de sécurité. Fabricants d'appareils et de chipsets Android peuvent également publier des informations sur les failles de sécurité propres à leurs produits, tels que Google Huawei, LGE Motorola Nokia, ou Samsung.

Versions

Version Date Notes
1.0 4 mars 2024 Publication du bulletin.
1.1 29 juillet 2024 Mises à jour des tables CVE.