نشرة أمان Android: أغسطس 2024

تاريخ النشر: 5 أغسطس 2024

تحتوي نشرة أمان Android على تفاصيل الأمان الثغرات الأمنية التي تؤثر في أجهزة Android. مستويات رمز تصحيح الأمان بتاريخ 2024-08-05 أو بعده، والتي تعالج كل هذه المشاكل. للتعرّف على كيفية إجراء ذلك: لفحص مستوى رمز تصحيح أمان الجهاز، راجِع الشيكات وتحديث إصدار Android على جهازك

يتم إشعار شركاء Android بجميع المشاكل لمدة شهر واحد على الأقل. قبل النشر. ستكون رموز تصحيحات رموز المصدر لهذه المشاكل تم إطلاقها في مستودع "المشروع المفتوح المصدر لنظام Android" (AOSP) الـ 48 ساعة القادمة. سنراجع هذه النشرة باستخدام "الشريك المعتمد من Google للناشرين" (AOSP). عند توفرها.

أخطر هذه المشاكل هو الأمان العالي ثغرة أمنية في مكون إطار العمل والتي قد تؤدي إلى تخزين بيانات تصعيد الامتياز بدون امتيازات التنفيذ الإضافية احتاجت. تشير رسالة الأشكال البيانية درجة الخطورة التقييم إلى تأثير أن استغلال الثغرة الأمنية قد يؤثر على الجهاز المتأثر، مع افتراض إجراءات تخفيف أثر النظام الأساسي والخدمة يتم إيقافها لأغراض التطوير أو إذا نجحت التي تم تجاوزها.

يُرجى الرجوع إلى نظامي التشغيل Android وGoogle Play قسم حماية إجراءات التخفيف للحصول على تفاصيل حول أمان نظام التشغيل Android ووسائل حماية الأنظمة الأساسية و"Google Play للحماية" التي تعمل على تحسين على أمان النظام الأساسي Android.

Android و إجراءات التخفيف في خدمة Google

في ما يلي ملخص لإجراءات التخفيف التي يوفرها أمان نظام التشغيل Android. النظام الأساسي ووسائل حماية الخدمة، مثل Google Play للحماية. هذه إمكانات يقلل من احتمالية حدوث ثغرات أمنية على جهاز Android.

  • يزداد استغلال العديد من المشاكل على Android الصعبة بسبب التحسينات في الإصدارات الأحدث من نظام التشغيل Android بدون خادم. نشجّع جميع المستخدمين على تثبيت أحدث إصدار إصدار Android متى أمكن ذلك.
  • يراقب فريق أمان Android بشكل نشط حالات إساءة الاستخدام. من خلال Google Play للحماية وتحذّر المستخدمين بشأن التطبيقات التي قد تتسبّب بضرر. Google يتم تفعيل "Play للحماية" تلقائيًا على الأجهزة التي تتضمّن خدمات Google للأجهزة الجوّالة، وبشكل خاص للمستخدمين الذين يثبِّتون تطبيقات من خارج Google اللعب.

تفاصيل الثغرة الأمنية على مستوى رمز تصحيح الأمان في 2024-08-01

في الأقسام أدناه، نقدم تفاصيل لكل ثغرات أمنية تنطبق على رمز التصحيح 2024-08-01 المستوى. ويتم تجميع الثغرات الأمنية ضمن المكون التأثير. يتم وصف المشاكل في الجداول أدناه وهي تشمل CVE. والمعرّف والمراجع ذات الصلة ونوع الثغرة الأمنية درجة الخطورة وإصدارات AOSP المُحدَّثة (حيث السارية). وعندما يكون ذلك متاحًا، نربط التغيير العام الذي عالج المشكلة إلى معرّف الخطأ، مثل قائمة تغييرات AOSP. عندما تتعلق عدة تغييرات بخطأ واحد، فإن ترتبط المراجع بأرقام بعد معرّف الخطأ. الأجهزة التي تعمل بنظام التشغيل Android 10 والإصدارات الأحدث قد تتلقى تحديثات الأمان بالإضافة إلى تحديثات نظام Google Play

إطار العمل

أشد ثغرة في هذا القسم إلى تصعيد محلي للامتياز بدون يجب الحصول على امتيازات تنفيذ إضافية.

CVE المراجع النوع درجة الخطورة إصدارات معدَّلة من AOSP
CVE-2023-20971 A-225880325 EoP عالٍ 12، 12L، 13، 14
CVE-2023-21351 A-232798676 EoP عالٍ 12، 12L، 13
CVE-2024-34731 A-319210610 [2] [3] [4] [5] EoP عالٍ 12، 12L، 13، 14
CVE-2024-34734 A-304772709 EoP عالٍ 13، 14
CVE-2024-34735 A-336490997 EoP عالٍ 12، 12L، 13
CVE-2024-34737 A-283103220 EoP عالٍ 12، 12L، 13، 14
CVE-2024-34738 A-336323279 EoP عالٍ 13، 14
CVE-2024-34739 A-294105066 EoP عالٍ 12، 12L، 13، 14
CVE-2024-34740 A-307288067 [2] EoP عالٍ 12، 12L، 13، 14
CVE-2024-34741 A-318683640 EoP عالٍ 12، 12L، 13، 14
CVE-2024-34743 A-336648613 EoP عالٍ 14
CVE-2024-34736 A-288549440 رقم التعريف عالٍ 12، 12L، 13، 14
CVE-2024-34742 A-335232744 الحرمان من الخدمات عالٍ 14

النظام

الثغرة الأمنية الواردة في هذا القسم إلى الإفصاح عن المعلومات عن بُعد بدون امتيازات التنفيذ المطلوبة.

CVE المراجع النوع درجة الخطورة إصدارات معدَّلة من AOSP
CVE-2024-34727 A-287184435 رقم التعريف عالٍ 12، 12L، 13، 14

نظام Google Play التحديثات

لم تتم معالجة أي مشاكل أمان في نظام Google Play. (مشروع Mainline) هذا الشهر.

تفاصيل الثغرة الأمنية على مستوى رمز تصحيح الأمان في 2024-08-05

في الأقسام أدناه، نقدم تفاصيل لكل ثغرات أمنية تنطبق على رمز التصحيح 2024-08-05 المستوى. ويتم تجميع الثغرات الأمنية ضمن المكون التأثير. يتم وصف المشاكل في الجداول أدناه وهي تشمل CVE. والمعرّف والمراجع ذات الصلة ونوع الثغرة الأمنية درجة الخطورة وإصدارات AOSP المُحدَّثة (حيث السارية). وعندما يكون ذلك متاحًا، نربط التغيير العام الذي عالج المشكلة إلى معرّف الخطأ، مثل قائمة تغييرات AOSP. عندما تتعلق عدة تغييرات بخطأ واحد، فإن ترتبط المراجع بأرقام بعد معرّف الخطأ.

Kernel

الثغرة الأمنية الواردة في هذا القسم يمكن أن يؤدي إلى تنفيذ التعليمات البرمجية عن بُعد من خلال تنفيذ النظام الامتيازات اللازمة.

CVE المراجع النوع درجة الخطورة المكوّن الفرعي
CVE-2024-36971 A-343727534
النواة الرئيسية [2] [3] [4] [5] [6] [7] [8] [9] [10] [10] [7]
RCE عالٍ Kernel

مكونات الذراع

تؤثر نقاط الضعف هذه في مكونات الذراع كما تتوفّر التفاصيل مباشرةً من "مجموعة التجربة". تقييم الخطورة يتم تقديم من هذه المشاكل مباشرةً بواسطة Arm.

CVE المراجع درجة الخطورة المكوّن الفرعي
CVE-2024-2937
A-339866012 * عالٍ مالي
CVE-2024-4607
A-339869945 * عالٍ مالي

تقنيات التخيل

تؤثر هذه الثغرة الأمنية على مكونات Imagination Technologies وتتوفر المزيد من التفاصيل مباشرةً من موقع Imagination التقنيات. يتوفّر تقييم لدرجة خطورة هذه المشكلة. مباشرةً من خلال شركة Imagination Technologs.

CVE المراجع درجة الخطورة المكوّن الفرعي
CVE-2024-31333
A-331435657 * عالٍ وحدة معالجة رسومات PowerVR

مكوِّنات MediaTek

تؤثر هذه الثغرة الأمنية في مكونات MediaTek تتوفّر التفاصيل مباشرةً من MediaTek. درجة الخطورة تقدّم MediaTek تقييمًا لهذه المشكلة مباشرةً.

CVE المراجع درجة الخطورة المكوّن الفرعي
CVE-2024-20082
A-344434139
M-MOLY01182594 *
عالٍ المودم

مكونات Qualcomm

تؤثر الثغرات الأمنية هذه في مكونات Qualcomm بمزيد من التفصيل في قسم الأمان المناسب لدى Qualcomm نشرة أو تنبيه أمني. يمكن تقييم مدى خطورة هذه المشاكل يتم تقديم المشكلات مباشرةً بواسطة Qualcomm.

CVE المراجع درجة الخطورة المكوّن الفرعي
CVE-2024-21478
A-323926460
QC-CR#3594987
عالٍ الشاشة
CVE-2024-23381
A-339043781
QC-CR#3701594 [2]
عالٍ الشاشة
CVE-2024-23382
A-339043615
QC-CR#3704061 [2]
عالٍ الشاشة
CVE-2024-23383
A-339042492
QC-CR#3707659
عالٍ الشاشة
CVE-2024-23384 A-339043323
QC-CR#3704870 [2] [3] [4]
عالٍ الشاشة
CVE-2024-33010
A-339043396
QC-CR#3717571
عالٍ شبكة WLAN
CVE-2024-33011
A-339043727
QC-CR#3717567
عالٍ شبكة WLAN
CVE-2024-33012
A-339043053
QC-CR#3717566
عالٍ شبكة WLAN
CVE-2024-33013
A-339042691
QC-CR#3710085
عالٍ شبكة WLAN
CVE-2024-33014
A-339043382
QC-CR#3710081
عالٍ شبكة WLAN
CVE-2024-33015 A-339043107
QC-CR#3710080
عالٍ شبكة WLAN
CVE-2024-33018
A-339043500
QC-CR#3704796
عالٍ شبكة WLAN
CVE-2024-33019
A-339043783
QC-CR#3704794
عالٍ شبكة WLAN
CVE-2024-33020
A-339043480
QC-CR#3704762
عالٍ شبكة WLAN
CVE-2024-33023
A-339043278
QC-CR#3702019 [2]
عالٍ الشاشة
CVE-2024-33024
A-339043270
QC-CR#3700072
عالٍ شبكة WLAN
CVE-2024-33025
A-339042969
QC-CR#3700045
عالٍ شبكة WLAN
CVE-2024-33026
A-339043880
QC-CR#3699954
عالٍ شبكة WLAN
CVE-2024-33027
A-316373168
QC-CR#3697522
عالٍ الشاشة
CVE-2024-33028
A-339043463
QC-CR#3694338
عالٍ الشاشة

حزمة Qualcomm مغلقة المصدر المكونات

تؤثر الثغرات الأمنية هذه على مكونات Qualcomm مغلقة المصدر وتم وصفها بمزيد من التفصيل في تقرير Qualcomm المناسب نشرة أمان أو تنبيه أمان يعتمد تقييم خطورة يتم تقديم هذه المشكلات مباشرةً بواسطة Qualcomm.

CVE المراجع درجة الخطورة المكوّن الفرعي
CVE-2024-23350
A-323919259 * حرج مكوِّن مغلق المصدر
CVE-2024-21481
A-323918669 * عالٍ مكوِّن مغلق المصدر
CVE-2024-23352
A-323918787 * عالٍ مكوِّن مغلق المصدر
CVE-2024-23353
A-323918845 * عالٍ مكوِّن مغلق المصدر
CVE-2024-23355
A-323918338 * عالٍ مكوِّن مغلق المصدر
CVE-2024-23356
A-323919081 * عالٍ مكوِّن مغلق المصدر
CVE-2024-23357
A-323919249 * عالٍ مكوِّن مغلق المصدر

الأسئلة الشائعة الإجابات

يجيب هذا القسم عن الأسئلة الشائعة التي قد تطرأ بعد قراءة هذه النشرة.

1. كيف يمكنني تحديد ما إذا كان جهازي محدَّثًا إلى لحلّ هذه المشاكل؟

لمعرفة كيفية التحقق من مستوى رمز تصحيح أمان الجهاز، يمكنك الاطّلاع على التحقّق من جهاز Android وتحديثه الإصدار.

  • تعالج مستويات رموز تصحيح الأمان بتاريخ 01-08-2024 أو تاريخ لاحق جميع المشاكل المشاكل المرتبطة بحزمة الأمان 2024-08-01 المستوى.
  • تعالج مستويات رموز تصحيح الأمان بتاريخ 05-08-2024 أو بعد ذلك جميع المشاكل المرتبطة بمستوى رمز تصحيح الأمان 2024-08-05 كل مستويات التصحيح السابقة.

وعلى الشركات المصنّعة للأجهزة التي تتضمّن هذه التحديثات ضبط مستوى سلسلة التصحيح من أجل:

  • [ro.build.version.security_patch]:[2024-08-01]
  • [ro.build.version.security_patch]:[2024-08-05]

بالنسبة إلى بعض الأجهزة التي تعمل بنظام التشغيل Android 10 أو الإصدارات الأحدث، يمكن استخدام يتضمّن تحديث النظام سلسلة تاريخ تتطابق مع 01-08-2024 مستوى رمز تصحيح الأمان. يُرجى الاطّلاع على هذه المقالة للحصول على مزيد من التفاصيل حول. كيفية تثبيت تحديثات الأمان.

2. لماذا تحتوي هذه النشرة على رمزي تصحيح أمان المستويات؟

تحتوي هذه النشرة على مستويَي تصحيح أمنيَين يتيحان لنظام Android الشركاء لديهم المرونة لإصلاح مجموعة فرعية من الثغرات المتشابهة عبر جميع أجهزة Android بسرعة أكبر. جهاز Android ننصح الشركاء بحلّ جميع المشاكل الواردة في هذه النشرة استخدام أحدث مستوى من رمز تصحيح الأمان.

  • يجب أن تستخدم الأجهزة التي تستخدم مستوى رمز تصحيح الأمان 2024-08-01 تضمين جميع المشاكل المرتبطة بمستوى رمز تصحيح الأمان هذا بالإضافة إلى إصلاحات لجميع المشاكل التي تم الإبلاغ عنها في إصدار الأمان السابق ونشرات.
  • الأجهزة التي تستخدم مستوى رمز تصحيح الأمان 2024-08-05 أو الأحدث على أن تتضمن جميع التصحيحات القابلة للتطبيق في هذه (و السابق) نشرات الأمان.

ننصح الشركاء بتجميع الحلول لكل المشاكل معًا. التي تتناولها في تحديث واحد.

3. ما هي قيمة الإدخالات في عمود النوع أي؟

الإدخالات في العمود النوع للثغرة الأمنية يشير جدول التفاصيل إلى تصنيف السند الثغرة الأمنية.

الاختصار التعريف
RCE تنفيذ الرمز عن بعد
EoP رفع الامتياز
رقم التعريف الإفصاح عن المعلومات
الحرمان من الخدمات الحرمان من الخدمة
لا ينطبق التصنيف غير متاح

‫4. ما هي فوائد الإدخالات في قسم المراجع متوسط العمود؟

الإدخالات ضمن عمود المراجع في جدول تفاصيل الثغرة الأمنية على بادئة تحدد التي تنتمي إليها القيمة المرجعية.

بادئة مَراجع
A-‎ معرّف الخطأ في Android
QC- الرقم المرجعي لشركة Qualcomm
M- الرقم المرجعي لشركة MediaTek
N- الرقم المرجعي لـ NVIDIA
B-‎ الرقم المرجعي لشركة Broadcom
U- الرقم المرجعي لـ UNISOC

‫5. ماذا تفعل علامة * بجوار معرّف خطأ Android في ما هو عمود المراجع؟

وتظهر علامة * بجانب المشاكل غير المتاحة للجميع المعرّف المرجعي المقابل. التحديث بشأن هذه المشكلة هو تتوفر عادةً في أحدث برامج التشغيل الثنائية لأجهزة Pixel الأجهزة المتوفرة من موقع Google Developer الإلكتروني.

‫6. لماذا يتم تقسيم الثغرات الأمنية بين هذه والنشرات ونشرات أمان الجهاز / الشريك، مثل هل تريد إصدار النشرة الإخبارية من Pixel؟

الثغرات الأمنية التي تم توثيقها في هذا الأمان مطلوبة للإعلان عن أحدث مستوى لرمز تصحيح الأمان. على أجهزة Android. الثغرات الأمنية الإضافية التي الموثقة في الجهاز / نشرات أمان الشريك غير مصنفة مطلوب للإعلان عن مستوى رمز تصحيح الأمان. جهاز Android قد تنشر الشركات المصنّعة لشرائح الشريحة أيضًا ثغرة أمنية تفاصيل خاصة بمنتجاتها، مثل Google أو Huawei أو LGE أو Motorola أو Nokia أو Samsung

الإصدارات

الإصدار التاريخ ملاحظات
1 5 أغسطس 2024 تم نشر النشرة.