Biuletyn na temat bezpieczeństwa Androida – sierpień 2024 r.

Opublikowano 5 sierpnia 2024 r.

Biuletyn na temat bezpieczeństwa w Androidzie zawiera szczegółowe informacje na temat zabezpieczeń Luki w zabezpieczeniach na urządzenia z Androidem. Poziomy poprawek zabezpieczeń 5 sierpnia 2024 r. lub później. Aby dowiedzieć się, jak to zrobić, aby sprawdzić stan aktualizacji zabezpieczeń urządzenia, zobacz Czek i zaktualizuj wersję Androida.

Partnerzy Androida są powiadamiani o wszystkich problemach co najmniej raz w miesiącu przed publikacją. Poprawki kodu źródłowego dla tych problemów będą opublikowane w repozytorium Android Open Source Project (AOSP) w w ciągu najbliższych 48 godzin. Poprawimy ten biuletyn wspólnie z AOSP , gdy są dostępne.

Najpoważniejszą z tych przyczyn jest wysokie bezpieczeństwo lukę w zabezpieczeniach w komponencie Framework, która może prowadzić do lokalnych eskalacja uprawnień bez dodatkowych uprawnień do wykonywania niezbędną. stopień ważności oceny zależy od efektu że wykorzystanie luki w zabezpieczeniach urządzenia, na którym wystąpił problem, przy założeniu, że stosowane są środki ograniczające ryzyko związane z platformą i usługą są wyłączone do celów programistycznych lub i ominęło.

Więcej informacji znajdziesz w artykule Android i Google Play. Sekcja dotycząca złagodzeń, w której znajdziesz szczegółowe informacje o zabezpieczeniach Androida. zabezpieczeń platformy i Google Play Protect, które poprawiają i zwiększa bezpieczeństwo platformy Androida.

Android oraz Środki łagodzące dla usług Google

To jest podsumowanie działań łagodzących zapewnianych przez zabezpieczenia Androida zabezpieczeń platformy i usług, np. Google Play Protect. Te zmniejsza prawdopodobieństwo, że luki w zabezpieczeniach które mogły zostać wykorzystane na Androidzie.

  • Wykorzystywanie wielu problemów na Androidzie jest coraz częstsze ze względu na trudności w nowszych wersjach Androida. platformy. Zachęcamy wszystkich użytkowników do i używanie wersji Androida.
  • Zespół ds. bezpieczeństwa Androida aktywnie monitoruje nadużycia przez Google Play Protect i ostrzega o aplikacjach potencjalnie szkodliwych. Google Funkcja Play Protect jest domyślnie włączona na urządzeniach z Usługami mobilnymi Google i szczególnie ważne dla użytkowników, którzy instalują aplikacje spoza Google Graj.
.

Szczegóły luk w zabezpieczeniach na poziomie aktualizacji zabezpieczeń 01.08.2024

W sekcjach poniżej podajemy szczegółowe informacje o każdym luki w zabezpieczeniach występujące w poprawce z 1 sierpnia 2024 r. na poziomie 300%. Luki w zabezpieczeniach są grupowane w ramach komponentu, i innych kwestii. Problemy zostały opisane w tabelach poniżej i obejmują CVE identyfikator, powiązane pliki referencyjne, typ luki w zabezpieczeniach, waga, i zaktualizowanych wersji AOSP (gdzie ). Jeśli takie zmiany są dostępne, link do publicznej zmiany poprawił identyfikator błędu, np. listę zmian AOSP. Jeśli wiele zmian dotyczy jednego błędu, dodatkowe są powiązane z numerami po identyfikatorze błędu. Urządzenia z Androidem 10 i nowszym mogą otrzymywać aktualizacje zabezpieczeń, Aktualizacje systemowe Google Play.

Platforma

Najbardziej poważna luka w zabezpieczeniach w może to doprowadzić do lokalnej eskalacji uprawnień bez potrzebne są dodatkowe uprawnienia do wykonywania.

standard CVE Pliki referencyjne Typ Poziom Zaktualizowane wersje AOSP
CVE-2023–20971 A-225880325 eksploatacja Wysoki 12, 12 l, 13, 14
CVE-2023-21351 A-232798676 eksploatacja Wysoki 12, 12 l, 13
CVE-2024-34731 A-319210610 [2] [3] [4] [5] eksploatacja Wysoki 12, 12 l, 13, 14
CVE-2024-34734 A-304772709 eksploatacja Wysoki 13, 14
CVE-2024-34735 336490997 eksploatacja Wysoki 12, 12 l, 13
CVE-2024-34737 A-283103220 eksploatacja Wysoki 12, 12 l, 13, 14
CVE-2024-34738 A-336323279 eksploatacja Wysoki 13, 14
CVE-2024-34739 A-294105066, eksploatacja Wysoki 12, 12 l, 13, 14
CVE-2024-34740 A-307288067 [2] eksploatacja Wysoki 12, 12 l, 13, 14
CVE-2024-34741 A-318683640 eksploatacja Wysoki 12, 12 l, 13, 14
CVE-2024-34743 A-336648613 eksploatacja Wysoki 14
CVE-2024-34736 288549440 ID Wysoki 12, 12 l, 13, 14
CVE-2024-34742 A-335232744 ataki typu DoS Wysoki 14

System

Luka w zabezpieczeniach w tej sekcji może prowadzić do zdalnego ujawniania informacji bez konieczności wymagane uprawnienia do wykonywania.

standard CVE Pliki referencyjne Typ Poziom Zaktualizowane wersje AOSP
CVE-2024-34727 A-287184435 ID Wysoki 12, 12 l, 13, 14

System Google Play aktualizacje

W systemie Google Play nie rozwiązano żadnych problemów z bezpieczeństwem (Project Mainline) w tym miesiącu.

Szczegóły luk w zabezpieczeniach na poziomie luki w zabezpieczeniach (05.08.2024 r.)

W sekcjach poniżej podajemy szczegółowe informacje o każdym luki w zabezpieczeniach występujące w poprawce z 5 września 2024 r. na poziomie 300%. Luki w zabezpieczeniach są grupowane w ramach komponentu, i innych kwestii. Problemy zostały opisane w tabelach poniżej i obejmują CVE identyfikator, powiązane pliki referencyjne, typ luki w zabezpieczeniach, waga, i zaktualizowanych wersji AOSP (gdzie ). Jeśli takie zmiany są dostępne, link do publicznej zmiany poprawił identyfikator błędu, np. listę zmian AOSP. Jeśli wiele zmian dotyczy jednego błędu, dodatkowe są powiązane z numerami po identyfikatorze błędu.

Jądro

Luka w zabezpieczeniach w tej sekcji może prowadzić do zdalnego wykonywania kodu przez wykonanie przez system wymaganych uprawnień.

standard CVE Pliki referencyjne Typ Poziom Składnik podrzędny
CVE-2024-36971 A-343727534
jądro poprzedzające [2] [3] [4] [5] [6] [7] [8] [9] [10101]
RCE Wysoki Jądro

Wysięgnik

Te luki w zabezpieczeniach wpływają na komponenty Arm i nie tylko jest dostępna bezpośrednio w Armii. Ocena wagi informacji dotyczących tych kwestii dostarcza bezpośrednio Arm.

standard CVE Pliki referencyjne Poziom Składnik podrzędny
CVE-2024-2937
A-339866012 * Wysoki Mali
CVE-2024-4607
A-339869945 * Wysoki Mali

Imagination Technologies

Ta luka w zabezpieczeniach wpływa na komponenty firmy Imagination Technologies i szczegółowe informacje są dostępne bezpośrednio w firmie Imagination. Technologie. Podana jest ocena wagi tego problemu bezpośrednio przez Imagination Technologies.

standard CVE Pliki referencyjne Poziom Składnik podrzędny
CVE-2024-31333
A-331435657 * Wysoki PowerVR-GPU

Komponenty MediaTek

Ta luka w zabezpieczeniach wpływa na komponenty MediaTek i nie tylko są dostępne bezpośrednio w MediaTek. wagi, oceny tego problemu udostępnia bezpośrednio MediaTek.

standard CVE Pliki referencyjne Poziom Składnik podrzędny
CVE-2024–20082
A-344434139
M-MOLY01182594 *
Wysoki Modem

Komponenty Qualcomm

Te luki w zabezpieczeniach mają wpływ na komponenty Qualcomm i są opisane szczegółowo w odpowiednich zabezpieczeniach Qualcomm biuletynu lub alertu bezpieczeństwa. Ocena wagi tych czynników jest dostarczana bezpośrednio przez Qualcomm.

standard CVE Pliki referencyjne Poziom Składnik podrzędny
CVE-2024-21478
A-323926460
QC-CR#3594987
Wysoki Wyświetlacz
CVE-2024-23381
A-339043781
QC-CR#3701594 [2]
Wysoki Wyświetlacz
CVE-2024-23382
A-339043615
QC-CR#3704061 [2]
Wysoki Wyświetlacz
CVE-2024-23383
A-339042492
QC-CR#3707659
Wysoki Wyświetlacz
CVE-2024-23384 A-339043323
QC-CR#3704870 [2] [3] [4]
Wysoki Wyświetlacz
CVE-2024-33010
A-339043396
QC-CR#3717571
Wysoki WLAN
CVE-2024-33011
A-339043727
QC-CR#3717567
Wysoki WLAN
CVE-2024-33012
A-339043053
QC-CR#3717566
Wysoki WLAN
CVE-2024-33013
A-339042691
QC-CR#3710085
Wysoki WLAN
CVE-2024-33014
A-339043382
QC-CR#3710081
Wysoki WLAN
CVE-2024-33015 A-339043107
QC-CR#3710080
Wysoki WLAN
CVE-2024-33018
A-339043500
QC-CR#3704796
Wysoki WLAN
CVE-2024-33019
A-339043783
QC-CR#3704794
Wysoki WLAN
CVE-2024-33020
A-339043480
QC-CR#3704762
Wysoki WLAN
CVE-2024-33023
A-339043278
QC-CR#3702019 [2]
Wysoki Wyświetlacz
CVE-2024-33024
A-339043270
QC-CR#3700072
Wysoki WLAN
CVE-2024-33025
A-339042969
QC-CR#3700045
Wysoki WLAN
CVE-2024-33026
A-339043880
QC-CR#3699954
Wysoki WLAN
CVE-2024-33027
A-316373168
QC-CR#3697522
Wysoki Wyświetlacz
CVE-2024-33028
A-339043463
QC-CR#3694338
Wysoki Wyświetlacz

Środowisko zamknięte Qualcomm komponenty

Te luki w zabezpieczeniach mają wpływ na komponenty open source Qualcomm które zostały szczegółowo omówione na stronie Qualcomm. biuletyn o zabezpieczeniach lub alert bezpieczeństwa. Ocena wagi problemy te są dostarczane bezpośrednio przez Qualcomm.

standard CVE Pliki referencyjne Poziom Składnik podrzędny
CVE-2024-23350
A-323919259 * Krytyczny Komponent typu open source
CVE-2024-21481
A-323918669 * Wysoki Komponent typu open source
CVE-2024-23352
A-323918787 * Wysoki Komponent typu open source
CVE-2024-23353
A-323918845 * Wysoki Komponent typu open source
CVE-2024-23355
A-323918338 * Wysoki Komponent typu open source
CVE-2024-23356
A-323919081*, Wysoki Komponent typu open source
CVE-2024-23357
A-323919249 * Wysoki Komponent typu open source

Częste pytania odpowiedzi

W tej sekcji znajdziesz odpowiedzi na najczęstsze pytania, które mogą wystąpić po za przeczytanie tego biuletynu.

1. Jak sprawdzić, czy moje urządzenie zostało zaktualizowane do i rozwiązać te problemy?

Aby dowiedzieć się, jak sprawdzić stan aktualizacji zabezpieczeń urządzenia, zobacz Sprawdzanie i aktualizowanie Androida wersji.

  • Poprawki zabezpieczeń z 1 sierpnia 2024 r. lub nowsze problemy związane z poprawką zabezpieczeń z 1 sierpnia 2024 r. na poziomie 300%.
  • Poprawki zabezpieczeń z 5.08.2024 lub nowszego dotyczą wszystkich problemy związane ze poprawką zabezpieczeń 5 sierpnia 2024 r. ze wszystkich poprzednich poziomów poprawek.

Producenci urządzeń, którzy uwzględniają te aktualizacje, powinni ustawić wartość popraw poziom ciągu znaków na:

  • [ro.build.version.security_patch]:[1.08.2024]
  • [ro.build.version.security_patch]:[5.08.2024]

Na niektórych urządzeniach z Androidem 10 lub nowszym aplikacja Google Play aktualizacja systemu będzie miała ciąg daty z datą 1 sierpnia 2024 r. i aktualizacji zabezpieczeń. Więcej informacji znajdziesz w tym artykule: jak zainstalować aktualizacje zabezpieczeń.

2. Dlaczego ten biuletyn zawiera dwie poprawki zabezpieczeń

Biuletyn ma dwa poziomy poprawek zabezpieczeń, dzięki czemu Android partnerzy mogą usuwać podzbiory luk w zabezpieczeniach, które są podobne na wszystkich urządzeniach z Androidem. Android, zachęcamy partnerów do rozwiązywania wszystkich problemów opisanych w tym biuletynie korzystać z najnowszego poziomu poprawek zabezpieczeń.

  • Urządzenia korzystające ze stanu aktualizacji zabezpieczeń 1 sierpnia 2024 r. muszą obejmują wszystkie problemy związane z tym poziomem poprawek zabezpieczeń; a także rozwiązania wszystkich problemów zgłoszonych w ramach poprzednich zabezpieczeń. biuletyny.
  • urządzeń z poprawkami zabezpieczeń z 5 sierpnia 2024 r. lub nowsze muszą zawierać wszystkie odpowiednie poprawki w tej sekcji (oraz biuletyny o zabezpieczeniach.

Zachęcamy partnerów do połączenia poprawek wszystkich problemów na które można się skupić w ramach jednej aktualizacji.

3. Do czego służą wpisy w kolumnie Typ ?

Wpisy w kolumnie Typ luki w zabezpieczeniach tabela ze szczegółami odnosi się do klasyfikacji zabezpieczenia czyli luki w zabezpieczeniach.

Skrót Definicja
RCE Zdalne wykonywanie kodu
eksploatacja Podniesienie uprawnień
ID Ujawnianie informacji
ataki typu DoS Atak typu DoS
Nie dotyczy Klasyfikacja niedostępna

4. Do czego służą wpisy w Odnośnikach średnia z kolumny?

Wpisy w kolumnie Pliki referencyjne Tabela z informacjami o lukach w zabezpieczeniach może zawierać prefiks identyfikujący organizacji, do której należy wartość referencyjna.

Prefiks Źródła wiedzy
A- Identyfikator błędu Androida
QC- Numer referencyjny Qualcomm
M Numer referencyjny MediaTek
Pn Numer referencyjny NVIDIA
B- Numer referencyjny Broadcom
U Numer referencyjny UNISOC

5. Co oznacza symbol * obok identyfikatora błędu Androida w sekcji Średnia kolumny Odnośniki?

Problemy, które są niedostępne publicznie, są oznaczone symbolem * obok odpowiedni identyfikator referencyjny. Aktualizacja tego problemu to zazwyczaj zawarte w najnowszych sterownikach plików binarnych telefonu Pixel. urządzeń dostępnych w witrynę Google Developers.

6. Dlaczego luki w zabezpieczeniach są dzielone między te luki oraz biuletyny o zabezpieczeniach urządzeń / partnerów, takie jak Chcesz użyć newslettera Pixela?

Luki w zabezpieczeniach, które są udokumentowane w tym zabezpieczeniach Do zadeklarowania ostatniego poziomu poprawek zabezpieczeń wymagany jest biuletyn na urządzeniach z Androidem. Dodatkowe luki w zabezpieczeniach, które są udokumentowane w biuletynach dotyczących zabezpieczeń urządzenia / partnera i nie są wymagane do zadeklarowania poziomu aktualizacji zabezpieczeń. urządzenie z Androidem i Producenci chipsetów mogą również publikować luki w zabezpieczeniach. szczegóły dotyczące ich produktów, takie jak Google, Huawei, LGE, Motorola, Nokia czy Samsung.

Wersje

Wersja Data Uwagi
1,0 5 sierpnia 2024 r. Opublikowano biuletyn.