בחדשות האבטחה של Android יש פרטים על נקודות חולשה שמשפיעות על מכשירי Android. תיקוני אבטחה מרמה 2024-04-05 ואילך פותרים את כל הבעיות האלה. במאמר איך בודקים ומעדכנים את גרסת Android שמותקנת במכשיר מוסבר איך בודקים את רמת תיקוני האבטחה במכשיר.
שותפים ל-Android מקבלים הודעה על כל הבעיות לפחות חודש לפני הפרסום. טלאים של קוד מקור לבעיות האלה יפורסמו במאגר של פרויקט הקוד הפתוח של Android (AOSP) ב-48 השעות הקרובות. אנחנו נעדכן את ההודעה הזו עם הקישורים ל-AOSP כשהם יהיו זמינים.
הבעיה החמורה ביותר היא נקודת חולשה ברמת אבטחה גבוהה ברכיב System, שעלולה להוביל להסלמת הרשאות (privilege escalation) ברמה המקומית ללא צורך בהרשאות הפעלה נוספות. הערכת חומרת הפגיעות מבוססת על ההשפעה האפשרית של ניצול הפגיעות על מכשיר מושפע, בהנחה שאמצעי ההגנה של הפלטפורמה והשירות מושבתים למטרות פיתוח או אם נעקפו בהצלחה.
בקטע אמצעי ההגנה של Android ו-Google Play Protect מפורטים אמצעי ההגנה של פלטפורמת האבטחה של Android ו-Google Play Protect, שמשפרים את האבטחה של פלטפורמת Android.
אמצעי הגנה בשירותי Android ו-Google
זהו סיכום של אמצעי ההגנה שמסופקים על ידי פלטפורמת האבטחה של Android ושירותי ההגנה, כמו Google Play Protect. היכולות האלה מפחיתות את הסיכוי שנקודות חולשה באבטחה ינוצלו לרעה ב-Android.
- שיפורים בגרסאות חדשות יותר של פלטפורמת Android מקשים על ניצול של הרבה בעיות ב-Android. מומלץ לכל המשתמשים לעדכן לגרסה האחרונה של Android, אם אפשר.
- צוות האבטחה של Android עוקב באופן פעיל אחרי התנהלות פוגעת באמצעות Google Play Protect ומזהיר משתמשים מפני אפליקציות שעלולות להזיק. Google Play Protect מופעל כברירת מחדל במכשירים עם שירותי Google לנייד, והוא חשוב במיוחד למשתמשים שמתקינים אפליקציות ממקורות אחרים ולא מחנות Google Play.
פרטים על נקודת החולשה ברמת תיקוני האבטחה – 01.04.2024
בקטעים הבאים מפורטות כל נקודות החולשה באבטחה שרלוונטיות לרמת התיקון 2024-04-01. נקודות החולשה מקובצות לפי הרכיב שהן משפיעות עליו. הבעיות מתוארות בטבלאות שבהמשך, וכוללות את מזהה ה-CVE, הפניות למקורות חיצוניים, סוג נקודת החולשה, חומרת הבעיה ומספרי הגרסאות המעודכנות של AOSP (אם רלוונטי). כשאפשר אנחנו מקשרים את התיקון שפורסם ופותר את הבעיה למזהה של הבאג, כמו ברשימת השינויים ב-AOSP. אם כמה עדכונים קשורים לאותו באג, אנחנו מקשרים מקורות נוספים למספרים שמופיעים אחרי המזהה של הבאג. יכול להיות שמכשירים עם Android מגרסה 10 ואילך יקבלו עדכוני אבטחה וגם עדכוני מערכת של Google Play.
Framework
נקודת החולשה החמורה ביותר בקטע הזה עלולה להוביל להסלמת הרשאות מקומית ללא צורך בהרשאות ביצוע נוספות.
| CVE | קובצי עזר | סוג | מידת החומרה | גרסאות AOSP מעודכנות |
|---|---|---|---|---|
| CVE-2024-23710 | A-311374917 | EoP | גבוהה | 13, 14 |
| CVE-2024-23713 | A-305926929 | EoP | גבוהה | 12, 12L, 13, 14 |
| CVE-2024-0022 | A-298635078 | מזהה | גבוהה | 13, 14 |
| CVE-2024-23712 | A-304983146 | מניעת שירות (DoS) | גבוהה | 12, 12L, 13, 14 |
מערכת
נקודת החולשה החמורה ביותר בקטע הזה עלולה להוביל להסלמת הרשאות מקומית ללא צורך בהרשאות ביצוע נוספות.
| CVE | קובצי עזר | סוג | מידת החומרה | גרסאות AOSP מעודכנות |
|---|---|---|---|---|
| CVE-2024-23704 | A-299931761 | EoP | גבוהה | 13, 14 |
| CVE-2023-21267 | A-218495634 [2] [3] | מזהה | גבוהה | 12, 12L, 13, 14 |
| CVE-2024-0026 | A-308414141 | מניעת שירות (DoS) | גבוהה | 12, 12L, 13, 14 |
| CVE-2024-0027 | A-307948424 | מניעת שירות (DoS) | גבוהה | 12, 12L, 13, 14 |
עדכוני מערכת של Google Play
אין בעיות אבטחה שעדכוני המערכת של Google Play (Project Mainline) פותרים החודש.
פרטים על נקודת החולשה ברמת תיקוני האבטחה – 05.04.2024
בקטעים הבאים מפורטות כל נקודות החולשה באבטחה שרלוונטיות לרמת התיקון 2024-04-05. נקודות החולשה מקובצות לפי הרכיב שהן משפיעות עליו. הבעיות מתוארות בטבלאות שבהמשך, וכוללות את מזהה ה-CVE, הפניות למקורות חיצוניים, סוג נקודת החולשה, חומרת הבעיה ומספרי הגרסאות המעודכנות של AOSP (אם רלוונטי). כשאפשר אנחנו מקשרים את התיקון שפורסם ופותר את הבעיה למזהה של הבאג, כמו ברשימת השינויים ב-AOSP. אם כמה עדכונים קשורים לאותו באג, אנחנו מקשרים מקורות נוספים למספרים שמופיעים אחרי המזהה של הבאג.
רכיבים של MediaTek
נקודות החולשה האלה משפיעות על רכיבי MediaTek, ופרטים נוספים זמינים ישירות מ-MediaTek. הערכת חומרת הבעיות האלה מסופקת ישירות על ידי MediaTek.
| CVE | הפניות למקור חיצוני | מידת החומרה | רכיב משנה |
|---|---|---|---|
| CVE-2024-20039 |
A-323462011
M-MOLY01240012 * |
גבוהה | פרוטוקול מודם |
| CVE-2024-20040 |
A-323465955
M-ALPS08360153 * |
גבוהה | קושחה של WLAN |
| CVE-2023-32890 |
A-323469023
M-MOLY01183647 * |
גבוהה | מודם EMM |
Widevine
נקודת החולשה באבטחה משפיעה על רכיבי Widevine, ופרטים נוספים זמינים ישירות מ-Widevine. הערכת רמת החומרה של הבעיה הזו מסופקת ישירות על ידי Widevine.
| CVE | הפניות למקור חיצוני | מידת החומרה | רכיב משנה |
|---|---|---|---|
| CVE-2024-0042 |
A-312543200 * | גבוהה | Widevine DRM |
רכיבים של Qualcomm
נקודות החולשה האלה משפיעות על רכיבים של Qualcomm, והן מתוארות בפירוט בעדכון האבטחה הדחוף או בהתראת האבטחה המתאימות של Qualcomm. הערכת חומרת הבעיות האלה מסופקת ישירות על ידי Qualcomm.
| CVE | הפניות למקור חיצוני | מידת החומרה | רכיב משנה |
|---|---|---|---|
| CVE-2024-21468 |
A-318393412
QC-CR#3614610 [2] |
גבוהה | ליבה |
| CVE-2024-21472 |
A-318393741
QC-CR#3626401 |
גבוהה | ליבה |
רכיבים של Qualcomm שהקוד שלהם סגור
נקודות החולשה האלה משפיעות על רכיבים של Qualcomm שהקוד שלהם סגור, והן מתוארות בפירוט בעדכון האבטחה הדחוף או בהתראת האבטחה המתאימים של Qualcomm. הערכת חומרת הבעיות האלה מסופקת ישירות על ידי Qualcomm.
| CVE | הפניות למקור חיצוני | מידת החומרה | רכיב משנה |
|---|---|---|---|
| CVE-2023-28582 |
A-299147008 * | קריטית | רכיב שהקוד שלו סגור |
| CVE-2023-28547 |
A-303101227 * | גבוהה | רכיב שהקוד שלו סגור |
| CVE-2023-33023 |
A-303101376 * | גבוהה | רכיב שהקוד שלו סגור |
| CVE-2023-33084 |
A-299146258 * | גבוהה | רכיב שהקוד שלו סגור |
| CVE-2023-33086 |
A-299146962 * | גבוהה | רכיב שהקוד שלו סגור |
| CVE-2023-33095 |
A-299146595 * | גבוהה | רכיב שהקוד שלו סגור |
| CVE-2023-33096 |
A-299146025 * | גבוהה | רכיב שהקוד שלו סגור |
| CVE-2023-33099 |
A-303101372 * | גבוהה | רכיב שהקוד שלו סגור |
| CVE-2023-33100 |
A-303101224 * | גבוהה | רכיב שהקוד שלו סגור |
| CVE-2023-33101 |
A-303101066 * | גבוהה | רכיב שהקוד שלו סגור |
| CVE-2023-33103 |
A-299146257 * | גבוהה | רכיב שהקוד שלו סגור |
| CVE-2023-33104 |
A-299146882 * | גבוהה | רכיב שהקוד שלו סגור |
| CVE-2023-33115 |
A-303101567 * | גבוהה | רכיב שהקוד שלו סגור |
| CVE-2024-21463 |
A-318393254 * | גבוהה | רכיב שהקוד שלו סגור |
תשובות לשאלות נפוצות
בקטע הזה תמצאו תשובות לשאלות נפוצות שיכולות לעלות אחרי שתקראו את פרטי העדכון הזה.
1. איך אפשר לבדוק אם המכשיר שלי קיבל את העדכון שפותר את הבעיות האלה?
במאמר איך בודקים ומעדכנים את גרסת Android שמותקנת במכשיר מוסבר איך בודקים את רמת תיקוני האבטחה במכשיר.
- תיקוני אבטחה מרמה 2024-04-01 ואילך פותרים את כל הבעיות שמשויכות להם.
- תיקוני אבטחה מרמה 2024-04-05 ואילך פותרים את כל הבעיות שמשויכות להם וגם את אלה שמשויכות לתיקונים קודמים.
יצרני מכשירים שכוללים את העדכונים האלה צריכים להגדיר את הרמה של מחרוזת התיקון ל:
- [ro.build.version.security_patch]:[2024-04-01]
- [ro.build.version.security_patch]:[2024-04-05]
במכשירים מסוימים עם Android מגרסה 10 ואילך, עדכון המערכת של Google Play יכלול מחרוזת תאריך שתואמת לרמת תיקון האבטחה 2024-04-01. במאמר הזה מוסבר איך להתקין עדכוני אבטחה.
2. למה בחדשות האבטחה האלה יש שתי רמות של תיקוני אבטחה?
בחדשות האבטחה האלה יש שתי רמות של תיקוני אבטחה, כדי שלשותפי Android תהיה גמישות לתקן מהר יותר קבוצת משנה של נקודות חולשה שדומות בכל מכשירי Android. אנחנו ממליצים לשותפי Android לתקן את כל הבעיות שמופיעות בחדשות האבטחה האלה ולהשתמש ברמת תיקוני האבטחה העדכנית ביותר.
- במכשירים שמשתמשים בתיקוני אבטחה ברמה 2024-04-01, צריך לכלול את כל הבעיות שמשויכות לרמת תיקוני האבטחה הזו, וגם תיקונים לכל הבעיות שדווחו בחדשות אבטחה קודמות.
- מכשירים שמשתמשים בתיקוני אבטחה מרמה 2024-04-05 ואילך חייבים לכלול את כל התיקונים הרלוונטיים בעדכון האבטחה הזה (ובעדכוני אבטחה קודמים).
אנחנו ממליצים לשותפים לאגד את התיקונים לכל הבעיות שהם מטפלים בהן בעדכון אחד.
3. מה המשמעות של הערכים בעמודה סוג?
הערכים בעמודה סוג בטבלת הפרטים של נקודות החולשה מתייחסים לסיווג שלהן.
| קיצור | ההגדרה |
|---|---|
| RCE | הרצת קוד מרחוק |
| EoP | רמת הרשאה גבוהה יותר |
| ID | חשיפת מידע |
| מניעת שירות (DoS) | התקפת מניעת שירות |
| N/A | אין סיווג |
4. מה המשמעות של הערכים בעמודה הפניות למקורות חיצוניים?
מידע על הערכים בעמודה הפניות למקורות חיצוניים בטבלה של פרטי נקודות החולשה: יש מקרים שבהם לערך יש תחילית שמציינת לאיזה ארגון משויך מקור המידע החיצוני.
| תחילית | מקור המידע החיצוני |
|---|---|
| A- | מזהה הבאג ב-Android |
| QC- | מספר סימוכין של Qualcomm |
| M- | מספר סימוכין של MediaTek |
| N- | מספר סימוכין של NVIDIA |
| B- | מספר סימוכין של Broadcom |
| U- | מספר סימוכין של UNISOC |
5. מה המשמעות של הכוכבית (*) לצד מזהה הבאג ב-Android בעמודה הפניות למקור חיצוני?
אם הנתונים על הבעיה לא פורסמו לציבור הרחב, יש סימן * לצד מזהה ההפניה המתאים. העדכון לבעיה הזו בדרך כלל כלול במנהלי ההתקנים הבינאריים העדכניים ביותר למכשירי Pixel שזמינים באתר המפתחים של Google.
6. למה חלק מנקודות החולשה מפורטות כאן וחלק בחדשות האבטחה של מכשירים או שותפים, כמו החדשות של Pixel?
נקודות חולשה באבטחה שמתועדות בעדכון אבטחה דחוף זה נדרשות כדי להצהיר על רמת תיקוני האבטחה העדכנית ביותר במכשירי Android. אין צורך לתעד נקודות חולשה נוספות שמתועדות בעדכוני האבטחה הדחופים של המכשיר/שותף כדי להצהיר על רמת תיקוני האבטחה. יצרנים של מכשירי Android ושל ערכות שבבים עשויים לפרסם גם פרטים על נקודות חולשה באבטחה שספציפיות למוצרים שלהם, כמו Google, Huawei, LGE, Motorola, Nokia או Samsung.
גרסאות
| הגרסה | תאריך | הערות |
|---|---|---|
| 1.0 | 1 באפריל 2024 | עדכון האבטחה פורסם |