Das Sicherheitsbulletin für Android enthält Details zu Sicherheitslücken, die Android-Geräte betreffen. Sicherheitspatch-Levels ab 05.08.2024 beheben alle diese Probleme. Informationen dazu, wie Sie den Sicherheitspatch-Level eines Geräts prüfen, finden Sie unter Android-Version ermitteln und aktualisieren.
Android-Partner werden mindestens einen Monat vor der Veröffentlichung über alle Probleme benachrichtigt. Quellcode-Patches für diese Probleme werden in den nächsten 48 Stunden im Repository des Open-Source-Projekts für Android (AOSP) veröffentlicht. Wir aktualisieren dieses Bulletin mit den AOSP-Links, sobald sie verfügbar sind.
Das schwerwiegendste dieser Probleme ist eine Sicherheitslücke mit hohem Schweregrad in der Framework-Komponente, die zu einer lokalen Rechteausweitung führen könnte, ohne dass zusätzliche Ausführungsberechtigungen erforderlich sind. Die Schweregradbewertung basiert auf den möglichen Auswirkungen, die die Ausnutzung der Sicherheitslücke auf ein betroffenes Gerät hätte, wenn die Plattform- und Dienst-Mitigationsmaßnahmen für Entwicklungszwecke deaktiviert oder erfolgreich umgangen werden.
Weitere Informationen zu den Sicherheitsmaßnahmen der Android-Plattform und Google Play Protect, die die Sicherheit der Android-Plattform verbessern, finden Sie im Abschnitt Android- und Google Play Protect-Maßnahmen.
Android- und Google-Dienste zur Risikominderung
Dies ist eine Zusammenfassung der Maßnahmen, die von der Android-Sicherheitsplattform und von Dienstschutzmaßnahmen wie Google Play Protect bereitgestellt werden. Diese Funktionen verringern die Wahrscheinlichkeit, dass Sicherheitslücken auf Android erfolgreich ausgenutzt werden können.
- Die Ausnutzung vieler Probleme auf Android wird durch Verbesserungen in neueren Versionen der Android-Plattform erschwert. Wir empfehlen allen Nutzern, nach Möglichkeit auf die aktuelle Android-Version zu aktualisieren.
- Das Android-Sicherheitsteam überwacht aktiv den Missbrauch durch Google Play Protect und warnt Nutzer vor potenziell schädlichen Apps. Google Play Protect ist auf Geräten mit Google Mobile-Diensten standardmäßig aktiviert und besonders wichtig für Nutzer, die Apps außerhalb von Google Play installieren.
Details zu Sicherheitslücken im Sicherheitspatch-Level vom 01.08.2024
In den folgenden Abschnitten finden Sie Details zu den einzelnen Sicherheitslücken, die für die Patch-Ebene vom 01.08.2024 gelten. Sicherheitslücken werden nach der Komponente gruppiert, die sie betreffen. Die Probleme werden in den folgenden Tabellen beschrieben und enthalten die CVE-ID, zugehörige Referenzen, die Art der Sicherheitslücke, den Schweregrad und aktualisierte AOSP-Versionen (sofern zutreffend). Wenn verfügbar, verknüpfen wir die öffentliche Änderung (z. B. die AOSP-Änderungsliste), mit der das Problem behoben wurde, mit der Bug-ID. Wenn sich mehrere Änderungen auf denselben Bug beziehen, werden nach der Bug-ID anklickbare Ziffern zu zusätzlichen Referenzen angegeben. Geräte mit Android 10 und höher erhalten möglicherweise Sicherheitsupdates sowie Google Play-Systemupdates.
Framework
Die schwerwiegendste Sicherheitslücke in diesem Abschnitt könnte zu einer lokalen Rechteausweitung führen, ohne dass zusätzliche Ausführungsberechtigungen erforderlich sind.
| CVE | Verweise | Art | Schweregrad | Aktualisierte AOSP-Versionen |
|---|---|---|---|---|
| CVE-2023-20971 | A-225880325 | EoP | Hoch | 12, 12L, 13, 14 |
| CVE-2023-21351 | A-232798676 | EoP | Hoch | 12, 12L, 13 |
| CVE-2024-34731 | A-319210610 [2] [3] [4] [5] | EoP | Hoch | 12, 12L, 13, 14 |
| CVE-2024-34734 | A-304772709 | EoP | Hoch | 13, 14 |
| CVE-2024-34735 | A-336490997 | EoP | Hoch | 12, 12L, 13 |
| CVE-2024-34737 | A-283103220 | EoP | Hoch | 12, 12L, 13, 14 |
| CVE-2024-34738 | A-336323279 | EoP | Hoch | 13, 14 |
| CVE-2024-34740 | A-307288067 [2] | EoP | Hoch | 12, 12L, 13, 14 |
| CVE-2024-34741 | A-318683640 | EoP | Hoch | 12, 12L, 13, 14 |
| CVE-2024-34743 | A-336648613 | EoP | Hoch | 14 |
| CVE-2024-34736 | A-288549440 | ID | Hoch | 12, 12L, 13, 14 |
| CVE-2024-34742 | A-335232744 | DoS | Hoch | 14 |
System
Die Sicherheitslücke in diesem Abschnitt könnte zu einer Offenlegung von Informationen aus der Ferne führen, ohne dass zusätzliche Ausführungsberechtigungen erforderlich sind.
| CVE | Verweise | Art | Schweregrad | Aktualisierte AOSP-Versionen |
|---|---|---|---|---|
| CVE-2024-34727 | A-287184435 | ID | Hoch | 12, 12L, 13, 14 |
Google Play-Systemupdates
In den Google Play-Systemupdates (Project Mainline) dieses Monats werden keine Sicherheitsprobleme behoben.
Details zu Sicherheitslücken im Sicherheitspatch-Level vom 05.08.2024
In den folgenden Abschnitten finden Sie Details zu den einzelnen Sicherheitslücken, die für die Patch-Ebene vom 05.08.2024 gelten. Sicherheitslücken werden nach der Komponente gruppiert, die sie betreffen. Die Probleme werden in den folgenden Tabellen beschrieben und enthalten die CVE-ID, zugehörige Referenzen, die Art der Sicherheitslücke, den Schweregrad und aktualisierte AOSP-Versionen (sofern zutreffend). Wenn verfügbar, verknüpfen wir die öffentliche Änderung (z. B. die AOSP-Änderungsliste), mit der das Problem behoben wurde, mit der Bug-ID. Wenn sich mehrere Änderungen auf denselben Bug beziehen, werden nach der Bug-ID anklickbare Ziffern zu zusätzlichen Referenzen angegeben.
Kernel
Die Sicherheitslücke in diesem Abschnitt könnte zur Remote-Codeausführung führen, wobei Systemausführungsprivilegien erforderlich sind.
| CVE | Verweise | Art | Schweregrad | Unterkomponente |
|---|---|---|---|---|
| CVE-2024-36971 |
A-343727534 Upstream-Kernel [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] |
RCE | Hoch | Kernel |
Arm-Komponenten
Diese Sicherheitslücken betreffen Arm-Komponenten. Weitere Informationen sind direkt von Arm verfügbar. Die Schweregradeinstufung dieser Probleme wird direkt von Arm bereitgestellt.
| CVE | Verweise | Schweregrad | Unterkomponente |
|---|---|---|---|
| CVE-2024-2937 |
A-339866012 * | Hoch | Mali |
| CVE-2024-4607 |
A-339869945 * | Hoch | Mali |
Imagination Technologies
Diese Sicherheitslücke betrifft Komponenten von Imagination Technologies. Weitere Informationen sind direkt bei Imagination Technologies verfügbar. Die Schweregradeinstufung dieses Problems wird direkt von Imagination Technologies vorgenommen.
| CVE | Verweise | Schweregrad | Unterkomponente |
|---|---|---|---|
| CVE-2024-31333 |
A-331435657 * | Hoch | PowerVR-GPU |
MediaTek-Komponenten
Diese Sicherheitslücke betrifft MediaTek-Komponenten. Weitere Informationen sind direkt von MediaTek erhältlich. Die Schweregradeinstufung dieses Problems wird direkt von MediaTek vorgenommen.
| CVE | Verweise | Schweregrad | Unterkomponente |
|---|---|---|---|
| CVE-2024-20082 |
A-344434139 M-MOLY01182594 * |
Hoch | Modem |
Qualcomm-Komponenten
Diese Sicherheitslücken betreffen Qualcomm-Komponenten und werden im entsprechenden Qualcomm-Sicherheitsbulletin oder in der entsprechenden Sicherheitswarnung ausführlicher beschrieben. Die Schweregradeinstufung dieser Probleme wird direkt von Qualcomm vorgenommen.
| CVE | Verweise | Schweregrad | Unterkomponente |
|---|---|---|---|
| CVE-2024-21478 |
A-323926460 QC-CR#3594987 |
Hoch | Display |
| CVE-2024-23381 |
A-339043781 QC-CR#3701594 [2] |
Hoch | Display |
| CVE-2024-23382 |
A-339043615 QC-CR#3704061 [2] |
Hoch | Display |
| CVE-2024-23383 |
A-339042492 QC-CR#3707659 |
Hoch | Display |
| CVE-2024-23384 |
A-339043323
QC-CR#3704870 [2] [3] [4] |
Hoch | Display |
| CVE-2024-33010 |
A-339043396 QC-CR#3717571 |
Hoch | WLAN |
| CVE-2024-33011 |
A-339043727 QC-CR#3717567 |
Hoch | WLAN |
| CVE-2024-33012 |
A-339043053 QC-CR#3717566 |
Hoch | WLAN |
| CVE-2024-33013 |
A-339042691 QC-CR#3710085 |
Hoch | WLAN |
| CVE-2024-33014 |
A-339043382 QC-CR#3710081 |
Hoch | WLAN |
| CVE-2024-33015 |
A-339043107
QC-CR#3710080 |
Hoch | WLAN |
| CVE-2024-33018 |
A-339043500 QC-CR#3704796 |
Hoch | WLAN |
| CVE-2024-33019 |
A-339043783 QC-CR#3704794 |
Hoch | WLAN |
| CVE-2024-33020 |
A-339043480 QC-CR#3704762 |
Hoch | WLAN |
| CVE-2024-33023 |
A-339043278 QC-CR#3702019 [2] |
Hoch | Display |
| CVE-2024-33024 |
A-339043270 QC-CR#3700072 |
Hoch | WLAN |
| CVE-2024-33025 |
A-339042969 QC-CR#3700045 |
Hoch | WLAN |
| CVE-2024-33026 |
A-339043880 QC-CR#3699954 |
Hoch | WLAN |
| CVE-2024-33027 |
A-316373168 QC-CR#3697522 |
Hoch | Display |
| CVE-2024-33028 |
A-339043463 QC-CR#3694338 |
Hoch | Display |
Qualcomm-Komponenten mit Closed Source
Diese Sicherheitslücken betreffen Qualcomm-Komponenten mit Closed Source und werden im entsprechenden Qualcomm-Sicherheitsbulletin oder ‑Sicherheitswarnung ausführlicher beschrieben. Die Schweregradeinstufung dieser Probleme erfolgt direkt durch Qualcomm.
| CVE | Verweise | Schweregrad | Unterkomponente |
|---|---|---|---|
| CVE-2024-23350 |
A-323919259 * | Kritisch | Closed-Source-Komponente |
| CVE-2024-21481 |
A-323918669 * | Hoch | Closed-Source-Komponente |
| CVE-2024-23352 |
A-323918787 * | Hoch | Closed-Source-Komponente |
| CVE-2024-23353 |
A-323918845 * | Hoch | Closed-Source-Komponente |
| CVE-2024-23355 |
A-323918338 * | Hoch | Closed-Source-Komponente |
| CVE-2024-23356 |
A-323919081 * | Hoch | Closed-Source-Komponente |
| CVE-2024-23357 |
A-323919249 * | Hoch | Closed-Source-Komponente |
Häufig gestellte Fragen und Antworten
In diesem Abschnitt werden häufige Fragen zu diesem Bulletin beantwortet.
1. Wie finde ich heraus, ob mein Gerät entsprechend aktualisiert wurde?
Informationen dazu, wie Sie den Sicherheitspatch-Level eines Geräts prüfen, finden Sie unter Android-Version ermitteln und aktualisieren.
- Sicherheitspatch-Levels ab 01.08.2024 beheben alle Probleme, die mit dem Sicherheitspatch-Level vom 01.08.2024 zusammenhängen.
- Sicherheitspatch-Levels ab 05.08.2024 beheben alle Probleme, die mit dem Sicherheitspatch-Level vom 05.08.2024 und allen vorherigen Patch-Levels zusammenhängen.
Gerätehersteller, die diese Updates einbinden, sollten das Patch-String-Level auf Folgendes festlegen:
- [ro.build.version.security_patch]:[2024-08-01]
- [ro.build.version.security_patch]:[2024-08-05]
Auf einigen Geräten mit Android 10 oder höher enthält das Google Play-Systemupdate einen Datumsstring, der dem Sicherheitspatch-Level vom 01.08.2024 entspricht. Weitere Informationen zur Installation von Sicherheitsupdates finden Sie in diesem Artikel.
2. Warum hat dieses Bulletin zwei Sicherheitspatch-Ebenen?
Dieses Bulletin enthält zwei Sicherheitspatch-Levels, damit Android-Partner eine Teilmenge von Sicherheitslücken, die auf allen Android-Geräten ähnlich sind, schneller beheben können. Android-Partner werden aufgefordert, alle Probleme in diesem Bulletin zu beheben und den neuesten Sicherheitspatch-Level zu verwenden.
- Geräte, die den Sicherheitspatch-Level vom 01.08.2024 verwenden, müssen alle Probleme enthalten, die mit diesem Sicherheitspatch-Level zusammenhängen, sowie Korrekturen für alle Probleme, die in früheren Sicherheitsbulletins gemeldet wurden.
- Geräte, die den Sicherheitspatch-Level vom 05.08.2024 oder höher verwenden, müssen alle anwendbaren Patches aus diesem und früheren Sicherheitsbulletins enthalten.
Partner werden gebeten, die Korrekturen für alle Probleme, die sie beheben, in einem einzigen Update zu bündeln.
3. Was bedeuten die Einträge in der Spalte Typ?
Einträge in der Spalte Typ der Tabelle mit den Details zur Sicherheitslücke verweisen auf die Klassifizierung der Sicherheitslücke.
| Abkürzung | Definition |
|---|---|
| RCE | Codeausführung per Fernzugriff |
| EoP | Rechteausweitung |
| ID | Offenlegung von Informationen |
| DoS | Denial of Service |
| – | Keine Klassifizierung verfügbar |
4. Was bedeuten die Einträge in der Spalte Referenzen?
Einträge in der Spalte Referenzen der Tabelle mit den Details zu Sicherheitslücken können ein Präfix zur Angabe der Organisation enthalten, zu der der Referenzwert gehört.
| Präfix | Referenz |
|---|---|
| A- | Android-Bug-ID |
| QC- | Qualcomm-Referenznummer |
| M- | MediaTek-Referenznummer |
| N- | NVIDIA-Referenznummer |
| B- | Broadcom-Referenznummer |
| U- | UNISOC-Referenznummer |
5. Was bedeutet ein Sternchen (*) neben der Android-Bug-ID in der Spalte Referenzen?
Probleme, die nicht öffentlich einsehbar sind, haben neben der entsprechenden Referenz-ID ein Sternchen (*). Das Update für dieses Problem ist in der Regel in den neuesten binären Treibern für Pixel-Geräte enthalten, die auf der Google Developers-Website verfügbar sind.
6. Warum werden die Informationen zu Sicherheitslücken zwischen diesem Bulletin und Geräte- bzw. Partner-Sicherheitsbulletins wie dem Pixel-Bulletin aufgeteilt?
Die Sicherheitslücken, die in diesem Sicherheitsbulletin dokumentiert sind, sind erforderlich, um den neuesten Sicherheitspatch-Level auf Android-Geräten zu deklarieren. Zusätzliche Sicherheitslücken, die in den Sicherheitsbulletins für Geräte / Partner dokumentiert sind, sind für die Deklaration eines Sicherheitspatch-Levels nicht erforderlich. Android-Geräte- und Chiphersteller können auch Sicherheitslücken veröffentlichen, die sich speziell auf ihre Produkte beziehen, z. B. Google, Huawei, LGE, Motorola, Nokia oder Samsung.
Versionen
| Version | Datum | Hinweise |
|---|---|---|
| 1.0 | 5. August 2024 | Bulletin veröffentlicht. |
| 1.1 | 24. Oktober 2024 | Aktualisierte CVE-Tabelle |