עדכון האבטחה של Android כולל פרטים על פרצות אבטחה שמשפיעות על מכשירי Android. רמות תיקון האבטחה מתאריך 5 ביוני 2024 ואילך מתייחסות לכל הבעיות האלה. למידע נוסף על בדיקת הרמה של תיקון האבטחה במכשיר, ראו בדיקה ועדכון של גרסת Android.
שותפי Android מקבלים הודעה על כל הבעיות לפחות חודש לפני הפרסום. תיקונים של קוד המקור לבעיות האלה יפורסמו למאגר פרויקט הקוד הפתוח של Android (AOSP) ב-48 השעות הקרובות. נבדוק את המבזק הזה עם קישורי AOSP כשיהיו זמינים.
הבעיה החמורה ביותר של הבעיות האלה היא נקודת חולשה גבוהה באבטחה ברכיב המערכת, שעלולה להוביל להסלמת הרשאות (privilege escalation) באופן מקומי, ללא צורך בהרשאות ביצוע נוספות. הערכת החומרה מבוססת על ההשפעה האפשרית לניצול של נקודת החולשה על המכשיר המושפע, בהנחה שהמיטיגציות של הפלטפורמה והשירות מושבתות למטרות פיתוח או אם הן עוקפות בהצלחה.
בקטע המיטיגציות של Android ו-Google Play Protect מופיעים פרטים על ההגנות של פלטפורמות האבטחה של Android ועל Google Play Protect, שמשפרות את האבטחה של פלטפורמת Android.
מיטיגציות בשירותי Android ו-Google
זהו סיכום של ההקלות שפלטפורמת האבטחה של Android מספקת וההגנות על השירותים, כמו Google Play Protect. היכולות האלה מצמצמות את הסיכוי לניצול מוצלח של נקודות חולשה באבטחה ב-Android.
- הניצול של בעיות רבות ב-Android קשה יותר בגלל שיפורים בגרסאות חדשות יותר של פלטפורמת Android. אנחנו ממליצים לכל המשתמשים לעדכן לגרסה האחרונה של Android כשהדבר אפשרי.
- צוות האבטחה של Android עוקב באופן פעיל אחרי ניצול לרעה באמצעות Google Play Protect ומזהיר את המשתמשים מפני אפליקציות שעלולות להזיק (PHA). שירותי Google Play Protect מופעלים כברירת מחדל במכשירים עם שירותי Google לנייד, והוא חשוב במיוחד למשתמשים שמתקינים אפליקציות ממקורות אחרים ולא מ-Google Play.
פרטי נקודות חולשה ברמה של תיקון האבטחה, 01.06.2024
בסעיפים שבהמשך אנחנו מציגים פרטים על כל אחת מנקודות החולשה באבטחה שחלות על רמת התיקון בתאריך 1 ביוני 2024. נקודות החולשה מקובצות לרכיב שהן משפיעות עליהן. הבעיות מתוארות בטבלאות שבהמשך וכוללות מזהה CVE, הפניות קשורות, סוג נקודת החולשה, חומרה וגרסאות AOSP מעודכנות (אם רלוונטי). אנחנו מקשרים את השינוי הגלוי לכולם שטיפל בבעיה אל מזהה הבאג, כמו רשימת השינויים של AOSP. אם מספר שינויים קשורים לבאג יחיד, הפניות נוספות מקושרות למספרים שמופיעים אחרי מזהה הבאג. מכשירים עם Android 10 ואילך עשויים לקבל עדכוני אבטחה וגם עדכוני מערכת של Google Play.
מסגרת
נקודת החולשה החמורה ביותר בקטע הזה עלולה להוביל להסלמת הרשאות (privilege escalation) באופן מקומי ללא הרשאות ביצוע נוספות.
| CVE | קובצי עזר | Type | מידת החומרה | גרסאות AOSP מעודכנות |
|---|---|---|---|---|
| CVE-2023-21266 | A-223376078 | ליש"ט | High (גבוה) | 12, 12L, 13 |
| CVE-2024-31310 | A-324874908 | ליש"ט | High (גבוה) | 12, 12L, 13, 14 |
| CVE-2024-31316 | A-321941232 | ליש"ט | High (גבוה) | 12, 12L, 13, 14 |
| CVE-2024-31317 | A-316153291 | ליש"ט | High (גבוה) | 12, 12L, 13, 14 |
| CVE-2024-31318 | A-313428840 | ליש"ט | High (גבוה) | 12, 12L, 13, 14 |
| CVE-2024-31319 | A-317357401 | ליש"ט | High (גבוה) | 12, 12L, 13, 14 |
| CVE-2024-31322 | A-326485767 | ליש"ט | High (גבוה) | 12, 12L, 13, 14 |
| CVE-2024-31324 | A-302431573 | ליש"ט | High (גבוה) | 12, 12L, 13, 14 |
| CVE-2024-31325 | A-317503801 | ליש"ט | High (גבוה) | 12, 12L, 13, 14 |
| CVE-2024-31326 | A-318497672 [2] | ליש"ט | High (גבוה) | 14 |
| CVE-2024-31312 | A-314333719 | מזהה | High (גבוה) | 12, 12L, 13, 14 |
| CVE-2024-31314 | A-304290201 | מניעת שירות (DoS) | High (גבוה) | 12, 12L, 13, 14 |
מערכת
נקודת החולשה החמורה ביותר בקטע הזה עלולה להוביל להסלמת הרשאות (privilege escalation) באופן מקומי ללא הרשאות ביצוע נוספות.
| CVE | קובצי עזר | Type | מידת החומרה | גרסאות AOSP מעודכנות |
|---|---|---|---|---|
| CVE-2023-21113 | A-267231571 [2] [3] | ליש"ט | High (גבוה) | 12, 12L, 13 |
| CVE-2023-21114 | A-272106880 [2] [3] | ליש"ט | High (גבוה) | 13 |
| CVE-2024-31311 | A-330054251 | ליש"ט | High (גבוה) | 12, 12L, 13, 14 |
| CVE-2024-31313 | A-321341508 | ליש"ט | High (גבוה) | 12, 12L, 13, 14 |
| CVE-2024-31315 | A-321707289 | ליש"ט | High (גבוה) | 12, 12L, 13, 14 |
| CVE-2024-31323 | A-313425281 | ליש"ט | High (גבוה) | 14 |
| CVE-2024-31327 | A-321326147 | ליש"ט | High (גבוה) | 12, 12L, 13, 14 |
עדכוני מערכת של Google Play
הבעיות הבאות כלולות ברכיבי Project Mainline.
| רכיב משנה | CVE |
|---|---|
| בריאות וכושר | CVE-2024-31323 |
| נתונים סטטיסטיים | CVE-2024-31311 |
| Wi-Fi | CVE-2023-21114 |
פרטי נקודות חולשה ברמת תיקון האבטחה, 05.06.2024
בסעיפים שבהמשך אנחנו מציגים פרטים על כל נקודות החולשה באבטחה שחלות על רמת התיקון בתאריך 5 ביוני 2024. נקודות החולשה מקובצות לרכיב שהן משפיעות עליהן. הבעיות מתוארות בטבלאות שבהמשך וכוללות מזהה CVE, הפניות קשורות, סוג נקודת החולשה, חומרה וגרסאות AOSP מעודכנות (אם רלוונטי). אנחנו מקשרים את השינוי הגלוי לכולם שטיפל בבעיה אל מזהה הבאג, כמו רשימת השינויים של AOSP. אם מספר שינויים קשורים לבאג יחיד, הפניות נוספות מקושרות למספרים שמופיעים אחרי מזהה הבאג.
ליבה
נקודת החולשה בקטע הזה עלולה להוביל להסלמת הרשאות (privilege escalation) באופן מקומי בליבה (kernel) ללא הרשאות ביצוע נוספות.
| CVE | קובצי עזר | Type | מידת החומרה | רכיב משנה |
|---|---|---|---|---|
| CVE-2024-26926 |
A-320661088 ליבה (kernel) של Upstream [2] |
ליש"ט | High (גבוה) | קלסר |
רכיבי זרוע
נקודות החולשה האלה משפיעות על רכיבי הזרוע ופרטים נוספים זמינים ישירות מ- Arm. הערכת החומרה של הבעיות האלה ניתנת ישירות על ידי Arm.
| CVE | קובצי עזר | מידת החומרה | רכיב משנה |
|---|---|---|---|
| CVE-2024-0671 |
A-329094549 * | High (גבוה) | מאלי |
| CVE-2024-1065 |
A-329096276 * | High (גבוה) | מאלי |
טכנולוגיות דמיון
נקודות החולשה האלה משפיעות על רכיבי הבינה המלאכותית (Imagination Technologies), ופרטים נוספים זמינים ישירות ב-Imagination Technologies. הערכת החומרה של הבעיות האלה ניתנת ישירות על ידי Imagination Technologies.
| CVE | קובצי עזר | מידת החומרה | רכיב משנה |
|---|---|---|---|
| CVE-2024-23695 |
A-331245718 * | High (גבוה) | PowerVR-GPU |
| CVE-2024-23696 |
A-331244771 * | High (גבוה) | PowerVR-GPU |
| CVE-2024-23697 |
A-331245500 * | High (גבוה) | PowerVR-GPU |
| CVE-2024-23698 |
A-331239675 * | High (גבוה) | PowerVR-GPU |
| CVE-2024-23711 |
A-332571891 * | High (גבוה) | PowerVR-GPU |
רכיבי MediaTek
נקודות החולשה האלה משפיעות על רכיבי MediaTek ופרטים נוספים זמינים ישירות מ-MediaTek. הערכת החומרה של הבעיות האלה מסופקת ישירות על ידי MediaTek.
| CVE | קובצי עזר | מידת החומרה | רכיב משנה |
|---|---|---|---|
| CVE-2024-20065 |
A-332178746 M-ALPS08698617 * |
High (גבוה) | טלפוניה |
| CVE-2024-20069 |
A-332178751 M-MOLY01286330 * |
High (גבוה) | מודם |
| CVE-2024-20066 |
A-332001819 M-MOLY01267281 * |
High (גבוה) | מודם |
| CVE-2024-20067 |
A-332186387 M-MOLY01267285 * |
High (גבוה) | מודם |
| CVE-2024-20068 |
A-332178749 M-MOLY01270721 * |
High (גבוה) | מודם |
רכיבי מקור סגור של Qualcomm
נקודות החולשה האלה משפיעות על רכיבי הקוד הסגור של Qualcomm ומתוארות בפירוט רב בעדכון האבטחה המתאים של Qualcomm או בהתראת האבטחה. הערכת החומרה של הבעיות האלה מסופקת ישירות על ידי Qualcomm.
| CVE | קובצי עזר | מידת החומרה | רכיב משנה |
|---|---|---|---|
| CVE-2023-43538 |
A-314791539 * | קריטי | רכיב ממקור סגור |
| CVE-2023-43551 |
A-314791442 * | קריטי | רכיב ממקור סגור |
| CVE-2023-43556 |
A-314791052 * | קריטי | רכיב ממקור סגור |
| CVE-2023-43542 |
A-314790691 * | High (גבוה) | רכיב ממקור סגור |
| CVE-2024-23363 |
A-328084351 * | High (גבוה) | רכיב ממקור סגור |
שאלות נפוצות ותשובות
בקטע הזה מפורטות תשובות לשאלות נפוצות שעשויות להופיע לאחר קריאת המבזק הזה.
1. איך אפשר לבדוק אם המכשיר שלי מעודכן כדי לטפל בבעיות האלה?
כדי ללמוד איך בודקים את הרמה של תיקון האבטחה במכשיר, ראו איך בודקים ומעדכנים את גרסת Android במכשיר.
- רמות תיקון האבטחה מגרסה 1.6.2024 ואילך מתייחסות לכל הבעיות שקשורות לרמת תיקון האבטחה משנת 2024.
- רמות תיקון האבטחה מגרסה 5 ביוני 2024 ואילך מתייחסות לכל הבעיות שקשורות לרמת תיקון האבטחה ב-6 ביוני 2024 ולכל רמות התיקון הקודמות.
יצרני מכשירים שכוללים את העדכונים האלה צריכים להגדיר את רמת מחרוזת התיקון כ:
- [ro.build.version.security_patch]:[2024-06.01]
- [ro.build.version.security_patch]:[2024-06.05]
במכשירים מסוימים עם Android מגרסה 10 ואילך, עדכון המערכת של Google Play יכלול מחרוזת תאריך שתואמת לרמת תיקון האבטחה משנת 2024. במאמר הזה מופיעים פרטים נוספים על התקנת עדכוני האבטחה.
2. למה יש בדף הזה שתי רמות של תיקון אבטחה?
העדכון הזה כולל שתי רמות של תיקוני אבטחה כדי שלשותפי Android תהיה גמישות לתקן במהירות קבוצת משנה של נקודות חולשה שדומות בכל מכשירי Android. אנחנו ממליצים לשותפי Android לפתור את כל הבעיות בעדכון הזה ולהשתמש ברמה העדכנית ביותר של תיקון האבטחה.
- מכשירים שבהם נעשה שימוש ברמה של תיקון האבטחה בגרסה 2024-06.2024 חייבים לכלול את כל הבעיות המשויכות לאותה רמת תיקון אבטחה, וכן תיקונים לכל הבעיות שדווחו בעדכון האבטחה הקודם.
- מכשירים ברמה של תיקון האבטחה מגרסה 2024.06.05 ואילך חייבים לכלול את כל התיקונים הרלוונטיים בעדכון האבטחה הזה (והקודם).
אנחנו ממליצים לשותפים לאגד את התיקונים לכל הבעיות שהם מטפלים בהם בעדכון אחד.
3. מה המשמעות של הערכים שבעמודה Type (סוג)?
רשומות בעמודה Type בטבלה של פרטי נקודת החולשה מתייחסות לסיווג של נקודת החולשה באבטחה.
| קיצור | הגדרה |
|---|---|
| RCE | ביצוע קוד מרחוק |
| ליש"ט | הרשאות ברמה גבוהה יותר |
| מזהה | חשיפת מידע |
| מניעת שירות (DoS) | התקפת מניעת שירות (DoS) |
| לא רלוונטי | הסיווג לא זמין |
4. מה המשמעות של הרשומות בעמודה References (קובצי עזר)?
רשומות מתחת לעמודה References בטבלה של פרטי נקודת החולשה עשויות להכיל קידומת שמציינת את הארגון שאליו שייך ערך ההפניה.
| תחילית | חומרי עזר |
|---|---|
| A- | מזהה באג ב-Android |
| QC- | מספר סימוכין של Qualcomm |
| M- | מספר סימוכין של MediaTek |
| N- | מספר סימוכין של NVIDIA |
| B- | מספר סימוכין של Broadcom |
| U- | מספר סימוכין של UNISOC |
5. מה המשמעות של * לצד מזהה הבאג ב-Android בעמודה References (קובצי עזר)?
בבעיות שלא זמינות לכולם, סימן * לצד מזהה ההפניה המתאים. העדכון לבעיה הזו נכלל בדרך כלל במנהלי ההתקנים הבינאריים העדכניים ביותר למכשירי Pixel, שזמינים באתר Google Developers.
6. למה נקודות החולשה באבטחה מתחלקות בין עדכון האבטחה הזה לבין עדכוני האבטחה של מכשיר או שותף, כמו העדכון של Pixel?
פרצות האבטחה המתועדות בעדכון האבטחה הזה נדרשות להצהיר על הרמה העדכנית ביותר של תיקון האבטחה במכשירי Android. לא נדרשות פרצות אבטחה נוספות שמתועדות בעדכון האבטחה של המכשיר או השותף כדי להצהיר על רמת תיקון אבטחה. יצרנים של מכשירי Android וערכות שבבים עשויים גם לפרסם פרטים על נקודות חולשה באבטחה הספציפיות למוצרים שלהם, כמו Google, Huawei, LGE, Motorola, Nokia או Samsung.
גרסאות
| גרסה | תאריך | אפליקציות לרישום הערות |
|---|---|---|
| 1.0 | 3 ביוני 2024 | המבזק פורסם |