Android Güvenlik Bülteni - Temmuz 2024

1 Temmuz 2024'te yayınlanmıştır

Android Güvenlik Bülteni'nde, Android cihazları etkileyen güvenlik açıklarının ayrıntıları yer alır. 05.07.2024 veya sonraki bir güvenlik yaması düzeyleri bu sorunların tümünü ele alır. Cihazların güvenlik yaması seviyesini nasıl kontrol edeceğinizi öğrenmek için Android sürümünüzü kontrol etme ve güncelleme bölümüne bakın.

Android iş ortakları, tüm sorunlar yayından en az bir ay önce bildirilir. Bu sorunlarla ilgili kaynak kodu yamaları, Android Açık Kaynak Projesi (AOSP) deposunda yayınlanmıştır ve bu bültende bağlantısı verilmiştir. Bu bültende AOSP dışındaki yamaların bağlantıları da yer alır.

Bu sorunların en ciddi olanı, Çerçeve bileşeninde yer alan ve ek yürütme ayrıcalıklarına ihtiyaç duymadan ayrıcalıkların yerel olarak artırılmasına yol açabilecek kritik bir güvenlik açığıdır. Önem derecesi, platform ve hizmet hafifletmelerinin geliştirme amacıyla kapatıldığı veya başarıyla atlandığı varsayılarak güvenlik açığından yararlanmanın etkilenen bir cihaz üzerinde olası etkisine dayanır.

Android güvenlik platformu korumaları ve Android platformunun güvenliğini iyileştiren Google Play Protect hakkında ayrıntılar için Android ve Google Play Protect çözümleri bölümüne bakın.

Android ve Google hizmeti çözümleri

Bu, Android güvenlik platformu ve Google Play Protect gibi hizmet korumaları tarafından sağlanan çözümlerin bir özetidir. Bu özellikler, Android'de güvenlik açıklarının başarılı bir şekilde kötüye kullanılma olasılığını azaltır.

  • Android platformunun yeni sürümlerindeki geliştirmeler, Android'deki birçok sorunun istismar edilmesini zorlaştırmaktadır. Tüm kullanıcıların, mümkün olduğunda Android'in en son sürümüne güncelleme yapmalarını öneririz.
  • Android güvenlik ekibi, Google Play Protect aracılığıyla kötüye kullanım olup olmadığını aktif olarak izlemektedir ve kullanıcıları Zararlı Olabilecek Uygulamalar hakkında uyarır. Google Play Protect, Google Mobil Hizmetleri bulunan cihazlarda varsayılan olarak etkindir ve özellikle Google Play dışından uygulama yükleyen kullanıcılar için önemlidir.

01.07.2024 güvenlik yaması düzeyindeki güvenlik açığı ayrıntıları

Aşağıdaki bölümlerde, 01.07.2024 yama düzeyi için geçerli olan güvenlik açıklarının her biri hakkında ayrıntılı bilgi verilmektedir. Güvenlik açıkları, etkiledikleri bileşenin altında gruplandırılır. Sorunlar aşağıdaki tablolarda açıklanmıştır. Bu sorunlar arasında CVE kimliği, ilişkili referanslar, güvenlik açığı türü, önem derecesi ve güncellenmiş AOSP sürümleri (geçerli olduğunda) yer alır. Kullanılabilir olduğunda, sorunu ele alan herkese açık değişikliği hata kimliğine (ör. AOSP değişiklik listesi) bağlarız. Tek bir hatayla ilgili birden çok değişiklik olduğunda, hata kimliğinden sonra gelen sayılara ek referanslar bağlanır. Android 10 ve sonraki sürümleri çalıştıran cihazlar Google Play sistem güncellemelerinin yanı sıra güvenlik güncellemeleri de alabilir.

Çerçeve

Bu bölümdeki en ciddi güvenlik açığı, ek yürütme ayrıcalıklarına ihtiyaç duymadan ayrıcalıkların yerel olarak artırılmasına yol açabilir.

CVE Referanslar Tür Önem derecesi Güncellenen AOSP sürümleri
CVE-2024-31320 A-329230490 [2] EoP Çok önemli 12, 12L
CVE-2024-31331 A-297517712 EoP Yüksek 12, 12L, 13, 14
CVE-2024-34720 A-319081336 EoP Yüksek 12, 12L, 13, 14
CVE-2024-34723 A-317048338 EoP Yüksek 12, 12L, 13, 14

Sistem

Bu bölümdeki en ciddi güvenlik açığı, ek yürütme ayrıcalıklarına ihtiyaç duymadan ayrıcalıkların yerel olarak artırılmasına yol açabilir.

CVE Referanslar Tür Önem derecesi Güncellenen AOSP sürümleri
CVE-2024-31332 A-299931076 EoP Yüksek 13, 14
CVE-2024-31339 A-292160348 EoP Yüksek 12, 12L, 13, 14
CVE-2024-34722 A-251514170 EoP Yüksek 12, 12L, 13, 14
CVE-2024-34721 A-294406604 ID Yüksek 12, 12L, 13, 14

Google Play sistem güncellemeleri

Aşağıdaki sorunlar, Project Mainline bileşenlerine dahil edilir.

Alt bileşen CVE
Medya Sağlayıcısı CVE-2024-34721
İstatistik CVE-2024-31339

05.07.2024 güvenlik yaması düzeyindeki güvenlik açığı ayrıntıları

Aşağıdaki bölümlerde, 05.07.2024 yama düzeyi için geçerli olan güvenlik açıklarının her biri hakkında ayrıntılı bilgi verilmektedir. Güvenlik açıkları, etkiledikleri bileşenin altında gruplandırılır. Sorunlar aşağıdaki tablolarda açıklanmıştır. Bu sorunlar arasında CVE kimliği, ilişkili referanslar, güvenlik açığı türü, önem derecesi ve güncellenmiş AOSP sürümleri (uygun olduğu durumlarda) yer alır. Kullanılabilir olduğunda, sorunu ele alan herkese açık değişikliği hata kimliğine (ör. AOSP değişiklik listesi) bağlarız. Tek bir hatayla ilgili birden çok değişiklik olduğunda, hata kimliğinden sonra gelen sayılara ek referanslar bağlanır.

Çekirdek

Bu bölümdeki güvenlik açığı, ek yürütme ayrıcalıklarına ihtiyaç duymadan ayrıcalıkların yerel olarak artırılmasına neden olabilir.

CVE Referanslar Tür Önem derecesi Alt bileşen
CVE-2024-26923 A-336268889
Upstream çekirdek [2] [3] [4]
EoP Yüksek Çekirdek

Kol bileşenleri

Bu güvenlik açıkları, Arm bileşenlerini etkilemektedir. Daha ayrıntılı bilgiye doğrudan Arm'dan ulaşabilirsiniz. Bu sorunların önem derecesi doğrudan Arm tarafından sağlanır.

CVE Referanslar Önem derecesi Alt bileşen
CVE-2024-0153
A-302570828 * Yüksek Mali
CVE-2024-4610
A-260126994 * Yüksek Mali

Hayal Gücü Teknolojileri

Bu güvenlik açıkları Imagination Technologies bileşenlerini etkilemektedir. Daha ayrıntılı bilgiye doğrudan Imagination Technologies'den ulaşabilirsiniz. Bu sorunların önem derecesi, doğrudan Imagination Technologies tarafından belirlenir.

CVE Referanslar Önem derecesi Alt bileşen
CVE-2024-31334
A-337947582 * Yüksek PowerVR-GPU
CVE-2024-31335
A-337951645 * Yüksek PowerVR-GPU
CVE-2024-34724
A-331437482 * Yüksek PowerVR-GPU
CVE-2024-34725
A-331438755 * Yüksek PowerVR-GPU
CVE-2024-34726
A-331439207 * Yüksek PowerVR-GPU

MediaTek bileşenleri

Bu güvenlik açıkları MediaTek bileşenlerini etkilemektedir. Daha ayrıntılı bilgiye doğrudan MediaTek'ten ulaşabilirsiniz. Bu sorunların önem derecesi doğrudan MediaTek tarafından sağlanır.

CVE Referanslar Önem derecesi Alt bileşen
CVE-2024-20076
A-338887100
MOLY01297806 *
Yüksek Modem
CVE-2024-20077
A-338887097
MOLY01297807 *
Yüksek Modem

Qualcomm bileşenleri

Bu güvenlik açıkları Qualcomm bileşenlerini etkiler ve uygun Qualcomm güvenlik bülteninde veya güvenlik uyarısında daha ayrıntılı olarak açıklanmıştır. Bu sorunların önem derecesi, doğrudan Qualcomm tarafından sağlanır.

CVE Referanslar Önem derecesi Alt bileşen
CVE-2024-23368
A-332315224
QC-CR#3522299
Yüksek Çekirdek
CVE-2024-23372
A-332315102
QC-CR#3692589 [2]
Yüksek Ekran
CVE-2024-23373
A-332315050
QC-CR#3692564 [2]
Yüksek Ekran
CVE-2024-23380
A-332315362
QC-CR#3690718 [2]
Yüksek Ekran

Qualcomm kapalı kaynak bileşenleri

Bu güvenlik açıkları, Qualcomm kapalı kaynak bileşenlerini etkilemektedir ve uygun Qualcomm güvenlik bülteninde veya güvenlik uyarısında daha ayrıntılı olarak açıklanmıştır. Bu sorunların önem derecesi, doğrudan Qualcomm tarafından sağlanır.

CVE Referanslar Önem derecesi Alt bileşen
CVE-2024-21461
A-318393487 * Çok önemli Kapalı kaynak bileşeni
CVE-2024-21460
A-318393435 * Yüksek Kapalı kaynak bileşeni
CVE-2024-21462
A-318394116 * Yüksek Kapalı kaynak bileşeni
CVE-2024-21465
A-318393702 * Yüksek Kapalı kaynak bileşeni
CVE-2024-21469
A-318393825 * Yüksek Kapalı kaynak bileşeni

Sık sorulan sorular ve yanıtlar

Bu bölümde, bu bülteni okuduktan sonra aklınıza gelebilecek genel sorular yanıtlanmıştır.

1. Cihazımın bu sorunları giderecek şekilde güncellenip güncellenmediğini nasıl anlarım?

Cihazların güvenlik yaması seviyesini nasıl kontrol edeceğinizi öğrenmek için Android sürümünüzü kontrol etme ve güncelleme bölümüne bakın.

  • 01.07.2024 veya sonraki bir güvenlik yaması düzeyleri, 01.07.2024 güvenlik yaması düzeyiyle ilgili tüm sorunları ele alır.
  • 05.07.2024 veya sonraki tarihli güvenlik yaması düzeyleri, 05.07.2024 güvenlik yaması düzeyi ve önceki tüm yama düzeyleriyle ilgili tüm sorunları ele alır.

Bu güncellemeleri içeren cihaz üreticileri yama dizesi düzeyini şu şekilde ayarlamalıdır:

  • [ro.build.version.security_yama]:[01.07.2024]
  • [ro.build.version.security_yama]:[05.07.2024]

Android 10 veya sonraki sürümleri çalıştıran bazı cihazlar için Google Play sistem güncellemesinde, 01.07.2024 güvenlik yaması düzeyiyle eşleşen bir tarih dizesi bulunur. Güvenlik güncellemelerinin nasıl yükleneceğiyle ilgili daha fazla bilgi için lütfen bu makaleyi inceleyin.

2. Bu bültende neden iki güvenlik yaması düzeyi var?

Bu bültende iki güvenlik yaması düzeyi bulunmaktadır. Böylece Android iş ortakları, tüm Android cihazlarda benzer güvenlik açıklarının bir alt kümesini daha hızlı bir şekilde düzeltme esnekliğine sahip olur. Android iş ortaklarının bu bültendeki tüm sorunları düzeltmeleri ve en son güvenlik yaması düzeyini kullanmaları önerilir.

  • 01.07.2024 güvenlik yaması düzeyini kullanan cihazlar, söz konusu güvenlik yaması düzeyiyle ilişkili tüm sorunların yanı sıra önceki güvenlik bültenlerinde bildirilen tüm sorunların çözümlerini de içermelidir.
  • 05.07.2024 veya daha yeni güvenlik yaması düzeyini kullanan cihazlar, bu (ve önceki) güvenlik bültenlerindeki geçerli tüm yamaları içermelidir.

İş ortaklarının, ele aldıkları tüm sorunların çözümlerini tek bir güncellemede gruplandırması önerilir.

3. Tür sütunundaki girişler ne anlama geliyor?

Güvenlik açığı ayrıntıları tablosunun Tür sütunundaki girişler, güvenlik açığının sınıflandırmasına referans verir.

Kısaltma Tanım
RCE Uzaktan kod yürütme
EoP Ayrıcalık yükseltme
ID Bilgilerin ifşa edilmesi
DoS Hizmet reddi
Yok Sınıflandırma yok

4. Referanslar sütunundaki girişler ne anlama geliyor?

Güvenlik açığı ayrıntıları tablosunun Referanslar sütunundaki girişler, referans değerinin ait olduğu kuruluşu tanımlayan bir önek içerebilir.

Ön numara Referans
A- Android hata kimliği
Kalite Kontrol Qualcomm referans numarası
A- MediaTek referans numarası
H- NVIDIA referans numarası
B- Broadcom referans numarası
U- UNISOC referans numarası

5. Referanslar sütununda Android hata kimliğinin yanında bulunan * işareti ne anlama gelir?

Herkese açık olmayan sayılarda, ilgili referans kimliğinin yanında * işareti bulunur. Bu sorunla ilgili güncelleme, genellikle Google Geliştirici sitesinde bulunan Pixel cihazlar için en yeni ikili program sürücülerinde yer alır.

6. Güvenlik açıkları bu bülten ile Pixel bülteni gibi cihaz / iş ortağı güvenlik bültenleri arasında neden ayrılıyor?

Android cihazlarda en son güvenlik yaması düzeyinin bildirilmesi için bu güvenlik bülteninde belirtilen güvenlik açıkları gereklidir. Güvenlik yaması düzeyini beyan etmek için cihaz / iş ortağı güvenlik bültenlerinde belirtilen ek güvenlik açıkları gerekli değildir. Android cihaz ve yonga seti üreticileri, Google, Huawei, LGE, Motorola, Nokia veya Samsung gibi ürünlerine özgü güvenlik açığı ayrıntılarını da yayınlayabilir.

Sürümler

Sürüm Tarih Notlar
1,0 1 Temmuz 2024 Bülten Yayınlandı.