Android Güvenlik Bülteni'nde güvenlikle ilgili ayrıntılar yer alır Android cihazları etkileyen güvenlik açıkları. Güvenlik yaması düzeyleri (05.08.2024 veya sonraki bir tarihte) bu sorunların tümünü gidereceğiz. Nasıl yapıldığını cihazın güvenlik yaması seviyesini kontrol etmek için Çek ve Android sürümünüzü güncelleyin.
Android iş ortakları en az bir ay içinde tüm sorunlarla ilgili olarak bilgilendirilir kontrol edin. Bu sorunlara yönelik kaynak kodu yamaları Android Açık Kaynak Projesi (AOSP) deposuna yayınlandı. dahil edebilirsiniz. Bu bülteni AOSP ile revize edeceğiz bağlantılarını tıklayın.
Bu sorunların en ciddisi yüksek güvenliktir Çerçeve bileşeninde, yerel sorunları gidermeye yönelik ek yürütme ayrıcalıkları olmadan ayrıcalık artırma gerekir. İlgili içeriği oluşturmak için kullanılan önem derecesi , projenizin etkisine bu güvenlik açığından yararlanmanın olası bir (platform ve hizmet önlemlerini uygulayarak) veya başarılı bir şekilde kapatılmışsa atlandı.
Android ve Google Play Android güvenliği hakkında ayrıntılı bilgi için Önlemleri koruma bölümüne bakın platform korumaları ve Google Play Protect konusunda da son derece önemlidir.
Android ve Google hizmeti çözümleri
Bu, Android güvenliği tarafından sağlanan çözümlerin bir özetidir. platform ve hizmet korumaları (ör. Google Play Protect) Bu özellikleri, güvenlik açıklarının Google tarafından başarıyla kötüye kullanılabileceğini fark etmiş olabilirsiniz.
- Android'de birçok sorun için istismar daha fazla yapılıyor Android'in yeni sürümlerindeki geliştirmeler nedeniyle zorlandığı durumlar platformu. Tüm kullanıcıların en yeni sürüme güncellemelerini öneririz. Android sürümünü kullanmanız gerekir.
- Android güvenlik ekibi kötüye kullanımı sürekli izler Google Play Protect üzerinden uyarı verir ve Zararlı Olabilecek Uygulamalar hakkında kullanıcıları bilgilendirerek. Google Play Protect, Google Mobil Hizmetleri bulunan cihazlarda varsayılan olarak etkindir ve özellikle Google dışından uygulama yükleyen kullanıcılar için önemlidir Oyna.
01.08.2024 güvenlik yaması düzeyindeki güvenlik açığı ayrıntıları
Aşağıdaki bölümlerde, risk yönetimi kapsamındaki her bir 01.08.2024 yamasına uygulanan güvenlik açıkları seviyesinde olmalıdır. Güvenlik açıkları, ziyaret ettikleri bileşen etkiler. Sorunlar aşağıdaki tablolarda açıklanmıştır ve CVE'yi içerir Kimlik, ilişkili referanslar, güvenlik açığı türü, önem, ve güncellenmiş AOSP sürümlerini (burada (geçerlidir). Mevcut olduğu takdirde, sorunu hata kimliğine (ör. AOSP değişiklik listesi) uyguladı. Tek bir hatayla ilgili birden fazla değişiklik olduğunda, referanslar, hata kimliğinden sonraki sayılara bağlanır. Cihazlar Android 10 ve sonraki sürümler güvenlik güncellemelerinin yanı sıra Google Play sistem güncellemeleri.
Çerçeve
ABD'deki en ciddi güvenlik açığı Ayrıca bu bölüm, herhangi bir toplantıda ek yürütme ayrıcalıkları gerekir.
| CVE | Referanslar | Tür | Önem derecesi | Güncellenen AOSP sürümleri |
|---|---|---|---|---|
| CVE-2023-20971 | A-225880325 | EoP | Yüksek | 12, 12L, 13, 14 |
| CVE-2023-21351 | A-232798676 | EoP | Yüksek | 12, 12L, 13 |
| CVE-2024-34731 | A-319210610 [2] [3] [4] [5] | EoP | Yüksek | 12, 12L, 13, 14 |
| CVE-2024-34734 | A-304772709 | EoP | Yüksek | 13, 14 |
| CVE-2024-34735 | A-336490997 | EoP | Yüksek | 12, 12L, 13 |
| CVE-2024-34737 | A-283103220 | EoP | Yüksek | 12, 12L, 13, 14 |
| CVE-2024-34738 | A-336323279 | EoP | Yüksek | 13, 14 |
| CVE-2024-34739 | A-294105066 | EoP | Yüksek | 12, 12L, 13, 14 |
| CVE-2024-34740 | A-307288067 [2] | EoP | Yüksek | 12, 12L, 13, 14 |
| CVE-2024-34741 | A-318683640 | EoP | Yüksek | 12, 12L, 13, 14 |
| CVE-2024-34743 | A-336648613 | EoP | Yüksek | 14 |
| CVE-2024-34736 | A-288549440 | Kimlik | Yüksek | 12, 12L, 13, 14 |
| CVE-2024-34742 | A-335232744 | DoS | Yüksek | 14 |
Sistem
Bu bölümdeki güvenlik açığı ek veri gerektirmeden uzaktan bilgi ifşasına yürütme ayrıcalığına sahip olmanız gerekir.
| CVE | Referanslar | Tür | Önem derecesi | Güncellenen AOSP sürümleri |
|---|---|---|---|---|
| CVE-2024-34727 | A-287184435 | Kimlik | Yüksek | 12, 12L, 13, 14 |
Google Play sistemi güncellemeleri
Google Play sisteminde giderilmiş herhangi bir güvenlik sorunu yok (Project Mainline) ile ilgili bu ayki güncellemeleri almak.
05.08.2024 güvenlik yaması düzeyindeki güvenlik açığı ayrıntıları
Aşağıdaki bölümlerde, her bir anahtar kelime için, 05.08.2024 yamasına uygulanan güvenlik açıkları seviyesinde olmalıdır. Güvenlik açıkları, ziyaret ettikleri bileşen etkiler. Sorunlar aşağıdaki tablolarda açıklanmıştır ve CVE'yi içerir Kimlik, ilişkili referanslar, güvenlik açığı türü, önem, ve güncellenmiş AOSP sürümlerini (burada (geçerlidir). Mevcut olduğu takdirde, sorunu hata kimliğine (ör. AOSP değişiklik listesi) uyguladı. Tek bir hatayla ilgili birden fazla değişiklik olduğunda, referanslar, hata kimliğinden sonraki sayılara bağlanır.
Çekirdek
Bu bölümdeki güvenlik açığı sistem yürütme ile uzaktan kod yürütülmesine yol açabilir ayrıcalık gerekli.
| CVE | Referanslar | Tür | Önem derecesi | Alt bileşen |
|---|---|---|---|---|
| CVE-2024-36971 |
A-343727534 Upstream çekirdek [2] [3] [4] [5] [6] [7] [8] [9] [10] [10] |
RCE | Yüksek | Çekirdek |
Kol bileşenleri
Bu güvenlik açıkları, Arm bileşenlerini ve doğrudan Arm'dan edinilebilir. Önem derecesi doğrudan Arm. tarafından sağlanmaktadır.
| CVE | Referanslar | Önem derecesi | Alt bileşen |
|---|---|---|---|
| CVE-2024-2937 |
A-339866012 * | Yüksek | Mali |
| CVE-2024-4607 |
A-339869945 * | Yüksek | Mali |
Hayal Gücü Teknolojileri
Bu güvenlik açığı, Imagination Technologies bileşenlerini etkiliyor Daha ayrıntılı bilgiye doğrudan Imagination'dan ulaşılabilir. Teknolojiler. Bu sorunun önem derecesi sunulur. doğrudan Imagination Technologies tarafından yürütülür.
| CVE | Referanslar | Önem derecesi | Alt bileşen | |
|---|---|---|---|---|
| CVE-2024-31333 |
A-331435657 * | Yüksek | PowerVR-GPU |
MediaTek bileşenleri
Bu güvenlik açığı MediaTek bileşenlerini ve doğrudan MediaTek'ten edinilebilir. Önem derecesi doğrudan MediaTek tarafından sağlanır.
| CVE | Referanslar | Önem derecesi | Alt bileşen |
|---|---|---|---|
| CVE-2024-20082 |
A-344434139 M-MOLY01182594 * |
Yüksek | Modem |
Qualcomm bileşenleri
Bu güvenlik açıkları Qualcomm bileşenlerini etkiler ve ilgili Qualcomm güvenliğinde bülten veya güvenlik uyarısı gönderin. Bu durumların önem derecesi Qualcomm'dan geliyor.
| CVE | Referanslar | Önem derecesi | Alt bileşen |
|---|---|---|---|
| CVE-2024-21478 |
A-323926460 QC-CR#3594987 |
Yüksek | Ekran |
| CVE-2024-23381 |
A-339043781 QC-CR#3701594 [2] |
Yüksek | Ekran |
| CVE-2024-23382 |
A-339043615 QC-CR#3704061 [2] |
Yüksek | Ekran |
| CVE-2024-23383 |
A-339042492 QC-CR#3707659 |
Yüksek | Ekran |
| CVE-2024-23384 |
A-339043323
. QC-CR#3704870 [2] [3] [4] |
Yüksek | Ekran |
| CVE-2024-33010 |
A-339043396 QC-CR#3717571 |
Yüksek | WLAN |
| CVE-2024-33011 |
A-339043727 QC-CR#3717567 |
Yüksek | WLAN |
| CVE-2024-33012 |
A-339043053 QC-CR#3717566 |
Yüksek | WLAN |
| CVE-2024-33013 |
A-339042691 QC-CR#3710085 |
Yüksek | WLAN |
| CVE-2024-33014 |
A-339043382 QC-CR#3710081 |
Yüksek | WLAN |
| CVE-2024-33015 |
A-339043107
. QC-CR#3710080 |
Yüksek | WLAN |
| CVE-2024-33018 |
A-339043500 QC-CR#3704796 |
Yüksek | WLAN |
| CVE-2024-33019 |
A-339043783 QC-CR#3704794 |
Yüksek | WLAN |
| CVE-2024-33020 |
A-339043480 QC-CR#3704762 |
Yüksek | WLAN |
| CVE-2024-33023 |
A-339043278 QC-CR#3702019 [2] |
Yüksek | Ekran |
| CVE-2024-33024 |
A-339043270 QC-CR#3700072 |
Yüksek | WLAN |
| CVE-2024-33025 |
A-339042969 QC-CR#3700045 |
Yüksek | WLAN |
| CVE-2024-33026 |
A-339043880 QC-CR#3699954 |
Yüksek | WLAN |
| CVE-2024-33027 |
A-316373168 QC-CR#3697522 |
Yüksek | Ekran |
| CVE-2024-33028 |
A-339043463 QC-CR#3694338 |
Yüksek | Ekran |
Qualcomm kapalı kaynak bileşenler
Bu güvenlik açıkları Qualcomm kapalı kaynak bileşenlerini etkiler ve ilgili Qualcomm'da daha ayrıntılı olarak açıklanmıştır veya güvenlik uyarısı gönderin. Projenin şiddeti doğrudan Qualcomm'dan geliyor.
| CVE | Referanslar | Önem derecesi | Alt bileşen |
|---|---|---|---|
| CVE-2024-23350 |
A-323919259 * | Kritik (Critical) | Kapalı kaynak bileşeni |
| CVE-2024-21481 |
A-323918669 * | Yüksek | Kapalı kaynak bileşeni |
| CVE-2024-23352 |
A-323918787 * | Yüksek | Kapalı kaynak bileşeni |
| CVE-2024-23353 |
A-323918845 * | Yüksek | Kapalı kaynak bileşeni |
| CVE-2024-23355 |
A-323918338 * | Yüksek | Kapalı kaynak bileşeni |
| CVE-2024-23356 |
A-323919081 * | Yüksek | Kapalı kaynak bileşeni |
| CVE-2024-23357 |
A-323919249 * | Yüksek | Kapalı kaynak bileşeni |
Sık sorulan sorular ve cevaplar
Bu bölümde, bu bülteni okuyun.
1. Cihazımın şu sürüme güncellenip güncellenmediğini nasıl belirlerim: nasıl çözersiniz?
Bir cihazın güvenlik yaması düzeyini nasıl kontrol edeceğinizi öğrenmek için bkz. Android cihazınızı kontrol etme ve güncelleme sürümü) tıklayın.
- 01.08.2024 veya sonrası için geçerli olan güvenlik yaması düzeyleri 01.08.2024 güvenlik yamasıyla ilgili sorunlar seviyesinde olmalıdır.
- 05.08.2024 veya sonrası için güvenlik yaması düzeyleri tüm iletileri ele alır 05.08.2024 güvenlik yaması düzeyiyle ilgili sorunlar ve tüm yama düzeylerine sahip olacaktır.
Bu güncellemeleri içeren cihaz üreticileri yama dizesi düzeyini şu şekilde değiştirin:
- [ro.build.version.security_yama]:[01.08.2024]
- [ro.build.version.security_yama]:[05.08.2024]
Android 10 veya sonraki sürümleri çalıştıran bazı cihazlarda Google Play sistem güncellemesinin 01.08.2024 ile eşleşen bir tarih dizesi olur güvenlik yaması düzeyi. Daha fazla bilgi için lütfen bu makaleyi inceleyin. Güvenlik güncellemelerinin nasıl yükleneceğini öğrenin.
2. Bu bültende neden iki güvenlik yaması var? düzeyi nedir?
Bu bültende iki güvenlik yaması düzeyi bulunmaktadır. iş ortakları, güvenlik açıklarının bir alt kümesini düzeltme esnekliğine sahiptir tüm Android cihazlarda daha hızlı çalışır. Android iş ortaklarımızın bu bültendeki tüm sorunları en son güvenlik yaması seviyesini kullanın.
- 01.08.2024 güvenlik yaması seviyesini kullanan cihazlar söz konusu güvenlik yaması düzeyiyle ilişkili tüm sorunları, ve önceki güvenlik sürümünde bildirilen tüm sorunların çözümleri bülten.
- 05.08.2024 veya 2024.08.2024 güvenlik yaması düzeyini kullanan cihazlar daha yeni olan bu kılavuzda geçerli tüm yamaları içermelidir (ve önceki) güvenlik bültenleri.
İş ortaklarının tüm sorunların çözümlerini paket halinde sunması önerilir. tek bir güncellemeyle ele alıyorlar.
3. Tür sütunundaki girişler ne demek?
Güvenlik açığının Tür sütunundaki girişler ayrıntılar tablosu, menkul kıymetin sınıflandırmasına referans verir emin olun.
| Kısaltma | Tanım |
|---|---|
| RCE | Uzaktan kod yürütme |
| EoP | Ayrıcalık yükseltme |
| Kimlik | Bilgilerin ifşa edilmesi |
| DoS | Hizmet reddi |
| Yok | Sınıflandırma yok |
4. Referanslar sütununun anlamı nedir?
Bu referansın Referanslar sütunu altındaki girişler güvenlik açığı ayrıntıları tablosu, referans değerin ait olduğu kuruluştur.
| Ön numara | Referans |
|---|---|
| A- | Android hata kimliği |
| Kalite Kontrol | Qualcomm referans numarası |
| A- | MediaTek referans numarası |
| H- | NVIDIA referans numarası |
| B- | Broadcom referans numarası |
| U- | UNISOC referans numarası |
5. Referanslar sütununun anlamı nedir?
Herkese açık olmayan sayılarda, referans kimliği gerekir. Bu soruna yönelik güncelleme genellikle Pixel için en yeni ikili sürücülerde bulunur şuradan kullanılabilir cihazlar: Google Geliştirici sitesi.
6. Güvenlik açıkları neden bunlar arasında bölüştürülüyor? bülten ve cihaz / iş ortağı güvenlik bültenleri (ör. Pixel bültenini izleyin.
Bu güvenlik açığında belgelenen güvenlik açıkları en son güvenlik yaması düzeyini bildirmek için bülten gerekir Android cihazlarda kullanın. Güvenlik açıkları ve belgedeki kontroller, cihazların / iş ortağı güvenlik bültenlerinde güvenlik yaması düzeyi tanımlamak için gereklidir. Android cihaz ve yonga seti üreticileri de bir güvenlik açığı yayımlayabiliyor. Google, Huawei, LGE, Motorola, Nokia veya Samsung gibi ürünlere özgü ayrıntılar.
Sürümler
| Sürüm | Tarih | Notlar |
|---|---|---|
| 1,0 | 5 Ağustos 2024 | Bülten Yayınlandı. |