Android Güvenlik Bülteni - Ağustos 2024

. 5 Ağustos 2024'te yayınlandı

Android Güvenlik Bülteni'nde güvenlikle ilgili ayrıntılar yer alır Android cihazları etkileyen güvenlik açıkları. Güvenlik yaması düzeyleri (05.08.2024 veya sonraki bir tarihte) bu sorunların tümünü gidereceğiz. Nasıl yapıldığını cihazın güvenlik yaması seviyesini kontrol etmek için Çek ve Android sürümünüzü güncelleyin.

Android iş ortakları en az bir ay içinde tüm sorunlarla ilgili olarak bilgilendirilir kontrol edin. Bu sorunlara yönelik kaynak kodu yamaları Android Açık Kaynak Projesi (AOSP) deposuna yayınlandı. dahil edebilirsiniz. Bu bülteni AOSP ile revize edeceğiz bağlantılarını tıklayın.

Bu sorunların en ciddisi yüksek güvenliktir Çerçeve bileşeninde, yerel sorunları gidermeye yönelik ek yürütme ayrıcalıkları olmadan ayrıcalık artırma gerekir. İlgili içeriği oluşturmak için kullanılan önem derecesi , projenizin etkisine bu güvenlik açığından yararlanmanın olası bir (platform ve hizmet önlemlerini uygulayarak) veya başarılı bir şekilde kapatılmışsa atlandı.

Android ve Google Play Android güvenliği hakkında ayrıntılı bilgi için Önlemleri koruma bölümüne bakın platform korumaları ve Google Play Protect konusunda da son derece önemlidir.

Android ve Google hizmeti çözümleri

Bu, Android güvenliği tarafından sağlanan çözümlerin bir özetidir. platform ve hizmet korumaları (ör. Google Play Protect) Bu özellikleri, güvenlik açıklarının Google tarafından başarıyla kötüye kullanılabileceğini fark etmiş olabilirsiniz.

  • Android'de birçok sorun için istismar daha fazla yapılıyor Android'in yeni sürümlerindeki geliştirmeler nedeniyle zorlandığı durumlar platformu. Tüm kullanıcıların en yeni sürüme güncellemelerini öneririz. Android sürümünü kullanmanız gerekir.
  • Android güvenlik ekibi kötüye kullanımı sürekli izler Google Play Protect üzerinden uyarı verir ve Zararlı Olabilecek Uygulamalar hakkında kullanıcıları bilgilendirerek. Google Play Protect, Google Mobil Hizmetleri bulunan cihazlarda varsayılan olarak etkindir ve özellikle Google dışından uygulama yükleyen kullanıcılar için önemlidir Oyna.
ziyaret edin.

01.08.2024 güvenlik yaması düzeyindeki güvenlik açığı ayrıntıları

Aşağıdaki bölümlerde, risk yönetimi kapsamındaki her bir 01.08.2024 yamasına uygulanan güvenlik açıkları seviyesinde olmalıdır. Güvenlik açıkları, ziyaret ettikleri bileşen etkiler. Sorunlar aşağıdaki tablolarda açıklanmıştır ve CVE'yi içerir Kimlik, ilişkili referanslar, güvenlik açığı türü, önem, ve güncellenmiş AOSP sürümlerini (burada (geçerlidir). Mevcut olduğu takdirde, sorunu hata kimliğine (ör. AOSP değişiklik listesi) uyguladı. Tek bir hatayla ilgili birden fazla değişiklik olduğunda, referanslar, hata kimliğinden sonraki sayılara bağlanır. Cihazlar Android 10 ve sonraki sürümler güvenlik güncellemelerinin yanı sıra Google Play sistem güncellemeleri.

Çerçeve

ABD'deki en ciddi güvenlik açığı Ayrıca bu bölüm, herhangi bir toplantıda ek yürütme ayrıcalıkları gerekir.

CVE Referanslar Tür Önem derecesi Güncellenen AOSP sürümleri
CVE-2023-20971 A-225880325 EoP Yüksek 12, 12L, 13, 14
CVE-2023-21351 A-232798676 EoP Yüksek 12, 12L, 13
CVE-2024-34731 A-319210610 [2] [3] [4] [5] EoP Yüksek 12, 12L, 13, 14
CVE-2024-34734 A-304772709 EoP Yüksek 13, 14
CVE-2024-34735 A-336490997 EoP Yüksek 12, 12L, 13
CVE-2024-34737 A-283103220 EoP Yüksek 12, 12L, 13, 14
CVE-2024-34738 A-336323279 EoP Yüksek 13, 14
CVE-2024-34739 A-294105066 EoP Yüksek 12, 12L, 13, 14
CVE-2024-34740 A-307288067 [2] EoP Yüksek 12, 12L, 13, 14
CVE-2024-34741 A-318683640 EoP Yüksek 12, 12L, 13, 14
CVE-2024-34743 A-336648613 EoP Yüksek 14
CVE-2024-34736 A-288549440 Kimlik Yüksek 12, 12L, 13, 14
CVE-2024-34742 A-335232744 DoS Yüksek 14

Sistem

Bu bölümdeki güvenlik açığı ek veri gerektirmeden uzaktan bilgi ifşasına yürütme ayrıcalığına sahip olmanız gerekir.

CVE Referanslar Tür Önem derecesi Güncellenen AOSP sürümleri
CVE-2024-34727 A-287184435 Kimlik Yüksek 12, 12L, 13, 14

Google Play sistemi güncellemeleri

Google Play sisteminde giderilmiş herhangi bir güvenlik sorunu yok (Project Mainline) ile ilgili bu ayki güncellemeleri almak.

05.08.2024 güvenlik yaması düzeyindeki güvenlik açığı ayrıntıları

Aşağıdaki bölümlerde, her bir anahtar kelime için, 05.08.2024 yamasına uygulanan güvenlik açıkları seviyesinde olmalıdır. Güvenlik açıkları, ziyaret ettikleri bileşen etkiler. Sorunlar aşağıdaki tablolarda açıklanmıştır ve CVE'yi içerir Kimlik, ilişkili referanslar, güvenlik açığı türü, önem, ve güncellenmiş AOSP sürümlerini (burada (geçerlidir). Mevcut olduğu takdirde, sorunu hata kimliğine (ör. AOSP değişiklik listesi) uyguladı. Tek bir hatayla ilgili birden fazla değişiklik olduğunda, referanslar, hata kimliğinden sonraki sayılara bağlanır.

Çekirdek

Bu bölümdeki güvenlik açığı sistem yürütme ile uzaktan kod yürütülmesine yol açabilir ayrıcalık gerekli.

CVE Referanslar Tür Önem derecesi Alt bileşen
CVE-2024-36971 A-343727534
Upstream çekirdek [2] [3] [4] [5] [6] [7] [8] [9] [10] [10]
RCE Yüksek Çekirdek

Kol bileşenleri

Bu güvenlik açıkları, Arm bileşenlerini ve doğrudan Arm'dan edinilebilir. Önem derecesi doğrudan Arm. tarafından sağlanmaktadır.

CVE Referanslar Önem derecesi Alt bileşen
CVE-2024-2937
A-339866012 * Yüksek Mali
CVE-2024-4607
A-339869945 * Yüksek Mali

Hayal Gücü Teknolojileri

Bu güvenlik açığı, Imagination Technologies bileşenlerini etkiliyor Daha ayrıntılı bilgiye doğrudan Imagination'dan ulaşılabilir. Teknolojiler. Bu sorunun önem derecesi sunulur. doğrudan Imagination Technologies tarafından yürütülür.

CVE Referanslar Önem derecesi Alt bileşen
CVE-2024-31333
A-331435657 * Yüksek PowerVR-GPU

MediaTek bileşenleri

Bu güvenlik açığı MediaTek bileşenlerini ve doğrudan MediaTek'ten edinilebilir. Önem derecesi doğrudan MediaTek tarafından sağlanır.

CVE Referanslar Önem derecesi Alt bileşen
CVE-2024-20082
A-344434139
M-MOLY01182594 *
Yüksek Modem

Qualcomm bileşenleri

Bu güvenlik açıkları Qualcomm bileşenlerini etkiler ve ilgili Qualcomm güvenliğinde bülten veya güvenlik uyarısı gönderin. Bu durumların önem derecesi Qualcomm'dan geliyor.

CVE Referanslar Önem derecesi Alt bileşen
CVE-2024-21478
A-323926460
QC-CR#3594987
Yüksek Ekran
CVE-2024-23381
A-339043781
QC-CR#3701594 [2]
Yüksek Ekran
CVE-2024-23382
A-339043615
QC-CR#3704061 [2]
Yüksek Ekran
CVE-2024-23383
A-339042492
QC-CR#3707659
Yüksek Ekran
CVE-2024-23384 A-339043323
. QC-CR#3704870 [2] [3] [4]
Yüksek Ekran
CVE-2024-33010
A-339043396
QC-CR#3717571
Yüksek WLAN
CVE-2024-33011
A-339043727
QC-CR#3717567
Yüksek WLAN
CVE-2024-33012
A-339043053
QC-CR#3717566
Yüksek WLAN
CVE-2024-33013
A-339042691
QC-CR#3710085
Yüksek WLAN
CVE-2024-33014
A-339043382
QC-CR#3710081
Yüksek WLAN
CVE-2024-33015 A-339043107
. QC-CR#3710080
Yüksek WLAN
CVE-2024-33018
A-339043500
QC-CR#3704796
Yüksek WLAN
CVE-2024-33019
A-339043783
QC-CR#3704794
Yüksek WLAN
CVE-2024-33020
A-339043480
QC-CR#3704762
Yüksek WLAN
CVE-2024-33023
A-339043278
QC-CR#3702019 [2]
Yüksek Ekran
CVE-2024-33024
A-339043270
QC-CR#3700072
Yüksek WLAN
CVE-2024-33025
A-339042969
QC-CR#3700045
Yüksek WLAN
CVE-2024-33026
A-339043880
QC-CR#3699954
Yüksek WLAN
CVE-2024-33027
A-316373168
QC-CR#3697522
Yüksek Ekran
CVE-2024-33028
A-339043463
QC-CR#3694338
Yüksek Ekran

Qualcomm kapalı kaynak bileşenler

Bu güvenlik açıkları Qualcomm kapalı kaynak bileşenlerini etkiler ve ilgili Qualcomm'da daha ayrıntılı olarak açıklanmıştır veya güvenlik uyarısı gönderin. Projenin şiddeti doğrudan Qualcomm'dan geliyor.

CVE Referanslar Önem derecesi Alt bileşen
CVE-2024-23350
A-323919259 * Kritik (Critical) Kapalı kaynak bileşeni
CVE-2024-21481
A-323918669 * Yüksek Kapalı kaynak bileşeni
CVE-2024-23352
A-323918787 * Yüksek Kapalı kaynak bileşeni
CVE-2024-23353
A-323918845 * Yüksek Kapalı kaynak bileşeni
CVE-2024-23355
A-323918338 * Yüksek Kapalı kaynak bileşeni
CVE-2024-23356
A-323919081 * Yüksek Kapalı kaynak bileşeni
CVE-2024-23357
A-323919249 * Yüksek Kapalı kaynak bileşeni

Sık sorulan sorular ve cevaplar

Bu bölümde, bu bülteni okuyun.

1. Cihazımın şu sürüme güncellenip güncellenmediğini nasıl belirlerim: nasıl çözersiniz?

Bir cihazın güvenlik yaması düzeyini nasıl kontrol edeceğinizi öğrenmek için bkz. Android cihazınızı kontrol etme ve güncelleme sürümü) tıklayın.

  • 01.08.2024 veya sonrası için geçerli olan güvenlik yaması düzeyleri 01.08.2024 güvenlik yamasıyla ilgili sorunlar seviyesinde olmalıdır.
  • 05.08.2024 veya sonrası için güvenlik yaması düzeyleri tüm iletileri ele alır 05.08.2024 güvenlik yaması düzeyiyle ilgili sorunlar ve tüm yama düzeylerine sahip olacaktır.

Bu güncellemeleri içeren cihaz üreticileri yama dizesi düzeyini şu şekilde değiştirin:

  • [ro.build.version.security_yama]:[01.08.2024]
  • [ro.build.version.security_yama]:[05.08.2024]

Android 10 veya sonraki sürümleri çalıştıran bazı cihazlarda Google Play sistem güncellemesinin 01.08.2024 ile eşleşen bir tarih dizesi olur güvenlik yaması düzeyi. Daha fazla bilgi için lütfen bu makaleyi inceleyin. Güvenlik güncellemelerinin nasıl yükleneceğini öğrenin.

2. Bu bültende neden iki güvenlik yaması var? düzeyi nedir?

Bu bültende iki güvenlik yaması düzeyi bulunmaktadır. iş ortakları, güvenlik açıklarının bir alt kümesini düzeltme esnekliğine sahiptir tüm Android cihazlarda daha hızlı çalışır. Android iş ortaklarımızın bu bültendeki tüm sorunları en son güvenlik yaması seviyesini kullanın.

  • 01.08.2024 güvenlik yaması seviyesini kullanan cihazlar söz konusu güvenlik yaması düzeyiyle ilişkili tüm sorunları, ve önceki güvenlik sürümünde bildirilen tüm sorunların çözümleri bülten.
  • 05.08.2024 veya 2024.08.2024 güvenlik yaması düzeyini kullanan cihazlar daha yeni olan bu kılavuzda geçerli tüm yamaları içermelidir (ve önceki) güvenlik bültenleri.

İş ortaklarının tüm sorunların çözümlerini paket halinde sunması önerilir. tek bir güncellemeyle ele alıyorlar.

3. Tür sütunundaki girişler ne demek?

Güvenlik açığının Tür sütunundaki girişler ayrıntılar tablosu, menkul kıymetin sınıflandırmasına referans verir emin olun.

Kısaltma Tanım
RCE Uzaktan kod yürütme
EoP Ayrıcalık yükseltme
Kimlik Bilgilerin ifşa edilmesi
DoS Hizmet reddi
Yok Sınıflandırma yok

4. Referanslar sütununun anlamı nedir?

Bu referansın Referanslar sütunu altındaki girişler güvenlik açığı ayrıntıları tablosu, referans değerin ait olduğu kuruluştur.

Ön numara Referans
A- Android hata kimliği
Kalite Kontrol Qualcomm referans numarası
A- MediaTek referans numarası
H- NVIDIA referans numarası
B- Broadcom referans numarası
U- UNISOC referans numarası

5. Referanslar sütununun anlamı nedir?

Herkese açık olmayan sayılarda, referans kimliği gerekir. Bu soruna yönelik güncelleme genellikle Pixel için en yeni ikili sürücülerde bulunur şuradan kullanılabilir cihazlar: Google Geliştirici sitesi.

6. Güvenlik açıkları neden bunlar arasında bölüştürülüyor? bülten ve cihaz / iş ortağı güvenlik bültenleri (ör. Pixel bültenini izleyin.

Bu güvenlik açığında belgelenen güvenlik açıkları en son güvenlik yaması düzeyini bildirmek için bülten gerekir Android cihazlarda kullanın. Güvenlik açıkları ve belgedeki kontroller, cihazların / iş ortağı güvenlik bültenlerinde güvenlik yaması düzeyi tanımlamak için gereklidir. Android cihaz ve yonga seti üreticileri de bir güvenlik açığı yayımlayabiliyor. Google, Huawei, LGE, Motorola, Nokia veya Samsung gibi ürünlere özgü ayrıntılar.

Sürümler

Sürüm Tarih Notlar
1,0 5 Ağustos 2024 Bülten Yayınlandı.