חדשות האבטחה של Android מכילות פרטים על נקודות חולשה שמשפיעות על מכשירי Android. תיקוני אבטחה מרמה 2024-08-05 ואילך פותרים את כל הבעיות האלה. במאמר איך בודקים מהי גרסת ה-Android ומעדכנים אותה מוסבר איך בודקים את רמת תיקוני האבטחה במכשיר.
שותפים ל-Android מקבלים הודעה על כל הבעיות לפחות חודש לפני הפרסום. תיקונים של קוד המקור לבעיות האלה יפורסמו במאגר של פרויקט הקוד הפתוח של Android (AOSP) ב-48 השעות הקרובות. אנחנו נעדכן את ההודעה הזו עם הקישורים ל-AOSP כשהם יהיו זמינים.
הבעיה החמורה ביותר היא פגיעות אבטחה גבוהה ברכיב Framework, שעלולה להוביל להרחבת הרשאות מקומית ללא צורך בהרשאות ביצוע נוספות. הערכת חומרת הפגיעות מבוססת על ההשפעה שעלולה להיות לניצול הפגיעות על מכשיר מושפע, בהנחה שהפלטפורמה והאמצעים לצמצום הסיכון של השירות מושבתים למטרות פיתוח או אם נעקפו בהצלחה.
בקטע אמצעי ההגנה של Android ו-Google Play Protect מפורטים אמצעי ההגנה של פלטפורמת האבטחה של Android ו-Google Play Protect, שמשפרים את האבטחה של פלטפורמת Android.
אמצעי ההגנה בשירותי Android ובשירותי Google
זהו סיכום של אמצעי ההגנה שמוצעים על ידי פלטפורמת האבטחה של Android והגנות השירותים, כמו Google Play Protect. היכולות האלה מפחיתות את הסיכוי שנקודות חולשה באבטחה ינוצלו לרעה ב-Android.
- בגרסאות חדשות יותר של פלטפורמת Android יש שיפורים שמקשים על ניצול של הרבה בעיות. מומלץ לכל המשתמשים לעדכן לגרסה האחרונה של Android, אם אפשר.
- צוות האבטחה של Android עוקב באופן פעיל אחרי ניצול לרעה באמצעות Google Play Protect ומזהיר את המשתמשים מפני אפליקציות שעלולות להזיק. שירות Google Play Protect מופעל כברירת מחדל במכשירים עם שירותי Google לנייד, והוא חשוב במיוחד למשתמשים שמתקינים אפליקציות ממקורות אחרים ולא מחנות Google Play.
פרטים על נקודת החולשה ברמת תיקוני האבטחה – 01.08.2024
בקטעים הבאים מפורטות כל פגיעויות האבטחה שרלוונטיות לרמת התיקון 2024-08-01. נקודות החולשה מקובצות לפי הרכיב שהן משפיעות עליו. בטבלאות הבאות מפורטות הבעיות, כולל מזהה CVE, הפניות למקורות חיצוניים, סוג נקודת החולשה, חומרת הבעיה ומספרי הגרסאות המעודכנות של AOSP (אם רלוונטי). כשאפשר אנחנו מקשרים את התיקון שפורסם ופותר את הבעיה למזהה של הבאג, כמו ברשימת השינויים ב-AOSP. אם כמה עדכונים קשורים לאותו באג, אנחנו מקשרים מקורות נוספים למספרים שמופיעים אחרי המזהה של הבאג. במכשירים עם Android מגרסה 10 ואילך יכול להיות שיתקבלו עדכוני אבטחה וגם עדכוני מערכת של Google Play.
Framework
נקודת החולשה החמורה ביותר בקטע הזה עלולה להוביל להסלמת הרשאות (privilege escalation) ברמה המקומית, בלי שיידרשו הרשאות ביצוע נוספות.
| CVE | קובצי עזר | סוג | מידת החומרה | גרסאות AOSP מעודכנות |
|---|---|---|---|---|
| CVE-2023-20971 | A-225880325 | EoP | גבוהה | 12, 12L, 13, 14 |
| CVE-2023-21351 | A-232798676 | EoP | גבוהה | 12, 12L, 13 |
| CVE-2024-34731 | A-319210610 [2] [3] [4] [5] | EoP | גבוהה | 12, 12L, 13, 14 |
| CVE-2024-34734 | A-304772709 | EoP | גבוהה | 13, 14 |
| CVE-2024-34735 | A-336490997 | EoP | גבוהה | 12, 12L, 13 |
| CVE-2024-34737 | A-283103220 | EoP | גבוהה | 12, 12L, 13, 14 |
| CVE-2024-34738 | A-336323279 | EoP | גבוהה | 13, 14 |
| CVE-2024-34740 | A-307288067 [2] | EoP | גבוהה | 12, 12L, 13, 14 |
| CVE-2024-34741 | A-318683640 | EoP | גבוהה | 12, 12L, 13, 14 |
| CVE-2024-34743 | A-336648613 | EoP | גבוהה | 14 |
| CVE-2024-34736 | A-288549440 | מזהה | גבוהה | 12, 12L, 13, 14 |
| CVE-2024-34742 | A-335232744 | מניעת שירות (DoS) | גבוהה | 14 |
מערכת
הפגיעות שמתוארת בקטע הזה עלולה להוביל לחשיפת מידע מרחוק, בלי שיידרשו הרשאות ביצוע נוספות.
| CVE | קובצי עזר | סוג | מידת החומרה | גרסאות AOSP מעודכנות |
|---|---|---|---|---|
| CVE-2024-34727 | A-287184435 | מזהה | גבוהה | 12, 12L, 13, 14 |
עדכוני מערכת של Google Play
אין בעיות אבטחה שצריך לטפל בהן בעדכונים של מערכת Google Play (פרויקט Mainline) החודש.
פרטים על נקודת החולשה ברמת תיקוני האבטחה – 05.08.2024
בקטעים הבאים מפורטות כל פגיעויות האבטחה שרלוונטיות לרמת התיקון 2024-08-05. נקודות החולשה מקובצות לפי הרכיב שהן משפיעות עליו. הבעיות מתוארות בטבלאות שבהמשך, וכוללות את מזהה ה-CVE, הפניות למקורות חיצוניים, סוג נקודת החולשה, חומרת הבעיה ומספרי הגרסאות המעודכנות של AOSP (אם רלוונטי). כשאפשר אנחנו מקשרים את התיקון שפורסם ופותר את הבעיה למזהה של הבאג, כמו ברשימת השינויים ב-AOSP. אם כמה עדכונים קשורים לאותו באג, אנחנו מקשרים מקורות נוספים למספרים שמופיעים אחרי המזהה של הבאג.
ליבה
נקודת התורפה שמתוארת בקטע הזה עלולה להוביל להרצת קוד מרחוק עם הרשאות ביצוע של המערכת.
| CVE | קובצי עזר | סוג | מידת החומרה | רכיב משנה |
|---|---|---|---|---|
| CVE-2024-36971 |
A-343727534 Upstream kernel [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] |
RCE | גבוהה | ליבה |
רכיבים של זרוע
נקודות החולשה האלה משפיעות על רכיבי Arm, ופרטים נוספים זמינים ישירות מ-Arm. הערכת חומרת הבעיות האלה מסופקת ישירות על ידי Arm.
| CVE | הפניות למקור חיצוני | מידת החומרה | רכיב משנה |
|---|---|---|---|
| CVE-2024-2937 |
A-339866012 * | גבוהה | מאלי |
| CVE-2024-4607 |
A-339869945 * | גבוהה | מאלי |
Imagination Technologies
נקודת החולשה באבטחה משפיעה על רכיבים של Imagination Technologies. פרטים נוספים זמינים ישירות מ-Imagination Technologies. הערכת החומרה של הבעיה הזו מסופקת ישירות על ידי Imagination Technologies.
| CVE | הפניות למקור חיצוני | מידת החומרה | רכיב משנה |
|---|---|---|---|
| CVE-2024-31333 |
A-331435657 * | גבוהה | PowerVR-GPU |
רכיבים של MediaTek
נקודת החולשה הזו משפיעה על רכיבי MediaTek, ופרטים נוספים זמינים ישירות מ-MediaTek. הערכת חומרת הבעיה הזו מסופקת ישירות על ידי MediaTek.
| CVE | הפניות למקור חיצוני | מידת החומרה | רכיב משנה |
|---|---|---|---|
| CVE-2024-20082 |
A-344434139 M-MOLY01182594 * |
גבוהה | מודם |
רכיבים של Qualcomm
נקודות החולשה האלה משפיעות על רכיבי Qualcomm, והן מתוארות בפירוט בעדכון האבטחה הדחוף או בהתראת האבטחה המתאימים של Qualcomm. הערכת חומרת הבעיות האלה מסופקת ישירות על ידי Qualcomm.
| CVE | הפניות למקור חיצוני | מידת החומרה | רכיב משנה |
|---|---|---|---|
| CVE-2024-21478 |
A-323926460 QC-CR#3594987 |
גבוהה | תצוגה |
| CVE-2024-23381 |
A-339043781 QC-CR#3701594 [2] |
גבוהה | תצוגה |
| CVE-2024-23382 |
A-339043615 QC-CR#3704061 [2] |
גבוהה | תצוגה |
| CVE-2024-23383 |
A-339042492 QC-CR#3707659 |
גבוהה | תצוגה |
| CVE-2024-23384 |
A-339043323
QC-CR#3704870 [2] [3] [4] |
גבוהה | תצוגה |
| CVE-2024-33010 |
A-339043396 QC-CR#3717571 |
גבוהה | WLAN |
| CVE-2024-33011 |
A-339043727 QC-CR#3717567 |
גבוהה | WLAN |
| CVE-2024-33012 |
A-339043053 QC-CR#3717566 |
גבוהה | WLAN |
| CVE-2024-33013 |
A-339042691 QC-CR#3710085 |
גבוהה | WLAN |
| CVE-2024-33014 |
A-339043382 QC-CR#3710081 |
גבוהה | WLAN |
| CVE-2024-33015 |
A-339043107
QC-CR#3710080 |
גבוהה | WLAN |
| CVE-2024-33018 |
A-339043500 QC-CR#3704796 |
גבוהה | WLAN |
| CVE-2024-33019 |
A-339043783 QC-CR#3704794 |
גבוהה | WLAN |
| CVE-2024-33020 |
A-339043480 QC-CR#3704762 |
גבוהה | WLAN |
| CVE-2024-33023 |
A-339043278 QC-CR#3702019 [2] |
גבוהה | תצוגה |
| CVE-2024-33024 |
A-339043270 QC-CR#3700072 |
גבוהה | WLAN |
| CVE-2024-33025 |
A-339042969 QC-CR#3700045 |
גבוהה | WLAN |
| CVE-2024-33026 |
A-339043880 QC-CR#3699954 |
גבוהה | WLAN |
| CVE-2024-33027 |
A-316373168 QC-CR#3697522 |
גבוהה | תצוגה |
| CVE-2024-33028 |
A-339043463 QC-CR#3694338 |
גבוהה | תצוגה |
רכיבים של Qualcomm שהקוד שלהם סגור
נקודות החולשה האלה משפיעות על רכיבים של Qualcomm שהקוד שלהם סגור, והן מתוארות בפירוט נוסף בפרסום האבטחה או בהתראת האבטחה המתאימים של Qualcomm. הערכת חומרת הבעיות האלה מסופקת ישירות על ידי Qualcomm.
| CVE | הפניות למקור חיצוני | מידת החומרה | רכיב משנה |
|---|---|---|---|
| CVE-2024-23350 |
A-323919259 * | קריטית | רכיב שהקוד שלו סגור |
| CVE-2024-21481 |
A-323918669 * | גבוהה | רכיב שהקוד שלו סגור |
| CVE-2024-23352 |
A-323918787 * | גבוהה | רכיב שהקוד שלו סגור |
| CVE-2024-23353 |
A-323918845 * | גבוהה | רכיב שהקוד שלו סגור |
| CVE-2024-23355 |
A-323918338 * | גבוהה | רכיב שהקוד שלו סגור |
| CVE-2024-23356 |
A-323919081 * | גבוהה | רכיב שהקוד שלו סגור |
| CVE-2024-23357 |
A-323919249 * | גבוהה | רכיב שהקוד שלו סגור |
שאלות ותשובות נפוצות
בקטע הזה תמצאו תשובות לשאלות נפוצות שיכולות לעלות אחרי שתקראו את פרטי העדכון הזה.
1. איך אפשר לבדוק אם המכשיר שלי קיבל את העדכון שפותר את הבעיות האלה?
במאמר איך בודקים מהי גרסת ה-Android ומעדכנים אותה מוסבר איך בודקים את רמת תיקון האבטחה במכשיר.
- תיקוני אבטחה מרמה 2024-08-01 ואילך פותרים את כל הבעיות שמשויכות להם.
- רמות תיקוני האבטחה מ-2024-08-05 ואילך פותרות את כל הבעיות שמשויכות לרמת תיקוני האבטחה מ-2024-08-05 וגם את כל רמות התיקונים הקודמות.
יצרני מכשירים שכוללים את העדכונים האלה צריכים להגדיר את רמת מחרוזת התיקון ל:
- [ro.build.version.security_patch]:[2024-08-01]
- [ro.build.version.security_patch]:[2024-08-05]
בחלק מהמכשירים עם Android מגרסה 10 ואילך, עדכון המערכת של Google Play יכלול מחרוזת תאריך שתואמת לרמת תיקוני האבטחה מ-2024-08-01. פרטים נוספים על אופן ההתקנה של עדכוני אבטחה זמינים במאמר הזה.
2. למה יש בחדשות האבטחה האלה שתי רמות של תיקוני אבטחה?
בחדשות האבטחה האלה יש שתי רמות של תיקוני אבטחה, כדי ששותפי Android יוכלו לתקן במהירות רבה יותר קבוצת משנה של נקודות חולשה שדומות בכל מכשירי Android. מומלץ לשותפי Android לתקן את כל הבעיות שמופיעות בחדשות האבטחה האלה ולהשתמש ברמת תיקוני האבטחה העדכנית ביותר.
- במכשירים שמשתמשים בתיקוני האבטחה ברמה 2024-08-01, צריך לכלול את כל הבעיות שמשויכות לרמת תיקוני האבטחה הזו, וגם תיקונים לכל הבעיות שדווחו בחדשות אבטחה קודמות.
- מכשירים שמשתמשים בתיקוני אבטחה מרמה 2024-08-05 ואילך חייבים לכלול את כל התיקונים הרלוונטיים בעדכון האבטחה הזה (ובעדכוני אבטחה קודמים).
מומלץ לשותפים לכלול את התיקונים לכל הבעיות שהם מטפלים בהן בעדכון אחד.
3. מה המשמעות של הערכים בעמודה סוג?
הערכים בעמודה סוג בטבלת הפרטים של נקודות החולשה מתייחסים לסיווג שלהן.
| קיצור | ההגדרה |
|---|---|
| RCE | הרצת קוד מרחוק |
| EoP | רמת הרשאה גבוהה יותר |
| ID | חשיפת מידע |
| מניעת שירות (DoS) | התקפת מניעת שירות |
| N/A | אין סיווג |
4. מה המשמעות של הערכים בעמודה הפניות למקורות חיצוניים?
מידע על הערכים בעמודה הפניות למקורות חיצוניים בטבלה של פרטי נקודות החולשה: יש מקרים שבהם לערך יש תחילית שמציינת לאיזה ארגון משויך מקור המידע החיצוני.
| תחילית | מקור המידע החיצוני |
|---|---|
| A- | מזהה הבאג ב-Android |
| QC- | מספר סימוכין של Qualcomm |
| M- | מספר סימוכין של MediaTek |
| N- | מספר סימוכין של NVIDIA |
| B- | מספר סימוכין של Broadcom |
| U- | מספר סימוכין של UNISOC |
5. מה המשמעות של הכוכבית (*) לצד מזהה הבאג ב-Android בעמודה הפניות למקור חיצוני?
אם הנתונים על הבעיה לא פורסמו לציבור הרחב, יש סימן * לצד מזהה ההפניה המתאים. העדכון לבעיה הזו בדרך כלל כלול במנהלי ההתקנים הבינאריים העדכניים ביותר למכשירי Pixel, שזמינים באתר למפתחים של Google.
6. למה חלק מנקודות החולשה מפורטות כאן וחלק בחדשות האבטחה של מכשירים או שותפים, כמו החדשות האבטחה של Pixel?
נקודות חולשה באבטחה שמתועדות בעדכון האבטחה הדחוף הזה נדרשות כדי להצהיר על רמת תיקוני האבטחה העדכנית ביותר במכשירי Android. אין צורך להצהיר על רמת תיקוני אבטחה בשביל נקודות חולשה נוספות שמתועדות בעדכוני אבטחה דחופים של מכשירים / שותפים. יצרני מכשירי Android וערכות שבבים עשויים גם לפרסם פרטים על פגיעויות אבטחה שספציפיות למוצרים שלהם, כמו Google, Huawei, LGE, Motorola, Nokia או Samsung.
גרסאות
| הגרסה | תאריך | הערות |
|---|---|---|
| 1.0 | 5 באוגוסט 2024 | עדכון האבטחה פורסם. |
| 1.1 | 24 באוקטובר 2024 | טבלת ה-CVE עודכנה |