Biuletyn bezpieczeństwa w Androidzie zawiera szczegółowe informacje o lukach w zabezpieczeniach, które mają wpływ na urządzenia z Androidem. Poziomy poprawek zabezpieczeń z 5 sierpnia 2024 r. lub nowsze rozwiązują wszystkie te problemy. Aby dowiedzieć się, jak sprawdzić poziom aktualizacji zabezpieczeń urządzenia, przeczytaj artykuł Sprawdzanie i aktualizowanie wersji Androida.
Partnerzy Androida są powiadamiani o wszystkich problemach co najmniej miesiąc przed publikacją. Poprawki kodu źródłowego dotyczące tych problemów zostaną udostępnione w repozytorium Projektu Android Open Source (AOSP) w ciągu najbliższych 48 godzin. Gdy linki do AOSP będą dostępne, zaktualizujemy ten biuletyn.
Najpoważniejszym z tych problemów jest luka w zabezpieczeniach o wysokim poziomie zagrożenia w komponencie Framework, która może prowadzić do lokalnego podniesienia uprawnień bez konieczności uzyskania dodatkowych uprawnień do wykonywania. Ocena poziomu ważności jest oparta na wpływie, jaki wykorzystanie luki w zabezpieczeniach może mieć na urządzenie, którego dotyczy problem, przy założeniu, że środki zaradcze platformy i usługi są wyłączone na potrzeby programowania lub zostały skutecznie pominięte.
Więcej informacji o zabezczeniach platformy Android i Google Play Protect, które zwiększają bezpieczeństwo platformy Android, znajdziesz w sekcji Środki ochrony w Androidzie i Google Play Protect.
Środki zaradcze w usługach Androida i Google
To podsumowanie środków zaradczych zapewnianych przez platformę zabezpieczeń Androida i usługi ochrony, takie jak Google Play Protect. Te funkcje zmniejszają prawdopodobieństwo wykorzystania luk w zabezpieczeniach Androida.
- Wykorzystanie wielu problemów na Androidzie jest utrudnione przez ulepszenia w nowszych wersjach platformy Android. Zachęcamy wszystkich użytkowników do zaktualizowania Androida do najnowszej wersji, jeśli jest to możliwe.
- Zespół ds. bezpieczeństwa Androida aktywnie monitoruje nadużycia za pomocą Google Play Protect i ostrzega użytkowników przed potencjalnie szkodliwymi aplikacjami. Usługa Google Play Protect jest domyślnie włączona na urządzeniach z Usługami mobilnymi Google i jest szczególnie ważna dla użytkowników, którzy instalują aplikacje spoza Google Play.
Szczegóły luki w zabezpieczeniach na poziomie aktualizacji zabezpieczeń z 1 sierpnia 2024 r.
W sekcjach poniżej znajdziesz szczegółowe informacje o każdej luce w zabezpieczeniach, która dotyczy poziomu poprawek z 1 sierpnia 2024 r. Luki w zabezpieczeniach są pogrupowane według komponentu, którego dotyczą. Problemy są opisane w tabelach poniżej i zawierają identyfikator CVE, powiązane numery referencyjne, typ luki w zabezpieczeniach, poziom ważności i zaktualizowane wersje AOSP (w stosownych przypadkach). W przypadku dostępności linkujemy publiczną zmianę, która rozwiązała problem, z identyfikatorem błędu, np. listą zmian AOSP. Jeśli kilka zmian dotyczy jednego błędu, dodatkowe odwołania są powiązane z numerami następującymi po identyfikatorze błędu. Urządzenia z Androidem 10 i nowszym mogą otrzymywać aktualizacje zabezpieczeń oraz aktualizacje systemowe Google Play.
Platforma
Najpoważniejsza luka w zabezpieczeniach w tej sekcji może prowadzić do lokalnej eskalacji uprawnień bez konieczności uzyskania dodatkowych uprawnień do wykonywania.
| CVE | Numer referencyjny | Typ | Poziom ważności | Zaktualizowane wersje AOSP |
|---|---|---|---|---|
| CVE-2023-20971 | A-225880325 | EoP | Wysoki | 12, 12L, 13, 14 |
| CVE-2023-21351 | A-232798676 | EoP | Wysoki | 12, 12L, 13 |
| CVE-2024-34731 | A-319210610 [2] [3] [4] [5] | EoP | Wysoki | 12, 12L, 13, 14 |
| CVE-2024-34734 | A-304772709 | EoP | Wysoki | 13, 14 |
| CVE-2024-34735 | A-336490997 | EoP | Wysoki | 12, 12L, 13 |
| CVE-2024-34737 | A-283103220 | EoP | Wysoki | 12, 12L, 13, 14 |
| CVE-2024-34738 | A-336323279 | EoP | Wysoki | 13, 14 |
| CVE-2024-34740 | A-307288067 [2] | EoP | Wysoki | 12, 12L, 13, 14 |
| CVE-2024-34741 | A-318683640 | EoP | Wysoki | 12, 12L, 13, 14 |
| CVE-2024-34743 | A-336648613 | EoP | Wysoki | 14 |
| CVE-2024-34736 | A-288549440 | Identyfikator | Wysoki | 12, 12L, 13, 14 |
| CVE-2024-34742 | A-335232744 | DoS | Wysoki | 14 |
System
Opisana w tej sekcji luka w zabezpieczeniach może prowadzić do zdalnego ujawnienia informacji bez konieczności uzyskania dodatkowych uprawnień do wykonania.
| CVE | Numer referencyjny | Typ | Poziom ważności | Zaktualizowane wersje AOSP |
|---|---|---|---|---|
| CVE-2024-34727 | A-287184435 | Identyfikator | Wysoki | 12, 12L, 13, 14 |
aktualizacje systemu Google Play,
W tym miesiącu w ramach aktualizacji systemu Google Play (Project Mainline) nie rozwiązano żadnych problemów z bezpieczeństwem.
Szczegóły luki w zabezpieczeniach na poziomie aktualizacji zabezpieczeń z 5 sierpnia 2024 r.
W sekcjach poniżej znajdziesz szczegółowe informacje o każdej luce w zabezpieczeniach, która dotyczy poziomu poprawek z 5 sierpnia 2024 r. Luki w zabezpieczeniach są pogrupowane według komponentu, którego dotyczą. Problemy są opisane w tabelach poniżej i zawierają identyfikator CVE, powiązane numery referencyjne, typ luki w zabezpieczeniach, poziom ważności i zaktualizowane wersje AOSP (w stosownych przypadkach). W przypadku dostępności linkujemy publiczną zmianę, która rozwiązała problem, z identyfikatorem błędu, np. listą zmian AOSP. Jeśli kilka zmian dotyczy jednego błędu, dodatkowe odwołania są powiązane z numerami następującymi po identyfikatorze błędu.
Bąbelki
Luka w zabezpieczeniach opisana w tej sekcji może prowadzić do zdalnego wykonania kodu z uprawnieniami do wykonania systemu.
| CVE | Numer referencyjny | Typ | Poziom ważności | Składnik podrzędny |
|---|---|---|---|---|
| CVE-2024-36971 |
A-343727534 Upstream kernel [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] |
RCE | Wysoki | Bąbelki |
Elementy ramienia
Te luki w zabezpieczeniach dotyczą komponentów Arm, a więcej szczegółów można znaleźć bezpośrednio na stronie Arm. Ocena ważności tych problemów jest podawana bezpośrednio przez firmę Arm.
| CVE | Odniesienia | Poziom ważności | Składnik podrzędny |
|---|---|---|---|
| CVE-2024-2937 |
A-339866012 * | Wysoki | Mali |
| CVE-2024-4607 |
A-339869945 * | Wysoki | Mali |
Imagination Technologies
Ta luka w zabezpieczeniach dotyczy komponentów Imagination Technologies. Więcej informacji można uzyskać bezpośrednio od Imagination Technologies. Ocena ważności tego problemu jest podawana bezpośrednio przez firmę Imagination Technologies.
| CVE | Odniesienia | Poziom ważności | Składnik podrzędny |
|---|---|---|---|
| CVE-2024-31333 |
A-331435657 * | Wysoki | PowerVR-GPU |
Komponenty MediaTek
Ta luka w zabezpieczeniach dotyczy komponentów MediaTek. Więcej informacji można uzyskać bezpośrednio od firmy MediaTek. Ocena ważności tego problemu jest podawana bezpośrednio przez firmę MediaTek.
| CVE | Odniesienia | Poziom ważności | Składnik podrzędny |
|---|---|---|---|
| CVE-2024-20082 |
A-344434139 M-MOLY01182594 * |
Wysoki | Modem |
Komponenty Qualcomm
Te luki w zabezpieczeniach dotyczą komponentów firmy Qualcomm i są szczegółowo opisane w odpowiednim biuletynie bezpieczeństwa lub alercie dotyczącym bezpieczeństwa firmy Qualcomm. Ocena ważności tych problemów jest dostarczana bezpośrednio przez firmę Qualcomm.
| CVE | Odniesienia | Poziom ważności | Składnik podrzędny |
|---|---|---|---|
| CVE-2024-21478 |
A-323926460 QC-CR#3594987 |
Wysoki | Wyświetlacz |
| CVE-2024-23381 |
A-339043781 QC-CR#3701594 [2] |
Wysoki | Wyświetlacz |
| CVE-2024-23382 |
A-339043615 QC-CR#3704061 [2] |
Wysoki | Wyświetlacz |
| CVE-2024-23383 |
A-339042492 QC-CR#3707659 |
Wysoki | Wyświetlacz |
| CVE-2024-23384 |
A-339043323
QC-CR#3704870 [2] [3] [4] |
Wysoki | Wyświetlacz |
| CVE-2024-33010 |
A-339043396 QC-CR#3717571 |
Wysoki | WLAN |
| CVE-2024-33011 |
A-339043727 QC-CR#3717567 |
Wysoki | WLAN |
| CVE-2024-33012 |
A-339043053 QC-CR#3717566 |
Wysoki | WLAN |
| CVE-2024-33013 |
A-339042691 QC-CR#3710085 |
Wysoki | WLAN |
| CVE-2024-33014 |
A-339043382 QC-CR#3710081 |
Wysoki | WLAN |
| CVE-2024-33015 |
A-339043107
QC-CR#3710080 |
Wysoki | WLAN |
| CVE-2024-33018 |
A-339043500 QC-CR#3704796 |
Wysoki | WLAN |
| CVE-2024-33019 |
A-339043783 QC-CR#3704794 |
Wysoki | WLAN |
| CVE-2024-33020 |
A-339043480 QC-CR#3704762 |
Wysoki | WLAN |
| CVE-2024-33023 |
A-339043278 QC-CR#3702019 [2] |
Wysoki | Wyświetlacz |
| CVE-2024-33024 |
A-339043270 QC-CR#3700072 |
Wysoki | WLAN |
| CVE-2024-33025 |
A-339042969 QC-CR#3700045 |
Wysoki | WLAN |
| CVE-2024-33026 |
A-339043880 QC-CR#3699954 |
Wysoki | WLAN |
| CVE-2024-33027 |
A-316373168 QC-CR#3697522 |
Wysoki | Wyświetlacz |
| CVE-2024-33028 |
A-339043463 QC-CR#3694338 |
Wysoki | Wyświetlacz |
Komponenty Qualcomm o zamkniętym kodzie źródłowym
Te luki w zabezpieczeniach dotyczą komponentów Qualcomm o zamkniętym kodzie źródłowym i są szczegółowo opisane w odpowiednim biuletynie o zabezpieczeniach lub alercie bezpieczeństwa firmy Qualcomm. Ocena ważności tych problemów jest dostarczana bezpośrednio przez firmę Qualcomm.
| CVE | Odniesienia | Poziom ważności | Składnik podrzędny |
|---|---|---|---|
| CVE-2024-23350 |
A-323919259 * | Krytyczny | Komponent o zamkniętym kodzie źródłowym |
| CVE-2024-21481 |
A-323918669 * | Wysoki | Komponent o zamkniętym kodzie źródłowym |
| CVE-2024-23352 |
A-323918787 * | Wysoki | Komponent o zamkniętym kodzie źródłowym |
| CVE-2024-23353 |
A-323918845 * | Wysoki | Komponent o zamkniętym kodzie źródłowym |
| CVE-2024-23355 |
A-323918338 * | Wysoki | Komponent o zamkniętym kodzie źródłowym |
| CVE-2024-23356 |
A-323919081 * | Wysoki | Komponent o zamkniętym kodzie źródłowym |
| CVE-2024-23357 |
A-323919249 * | Wysoki | Komponent o zamkniętym kodzie źródłowym |
Najczęstsze pytania i odpowiedzi
W tej sekcji znajdziesz odpowiedzi na najczęstsze pytania, które mogą się pojawić po przeczytaniu tego biuletynu.
1. Jak sprawdzić, czy moje urządzenie zostało zaktualizowane, aby rozwiązać te problemy?
Aby dowiedzieć się, jak sprawdzić poziom aktualizacji zabezpieczeń urządzenia, przeczytaj artykuł Sprawdzanie i aktualizowanie wersji Androida.
- Poziomy aktualizacji zabezpieczeń z 1 sierpnia 2024 r. lub nowsze rozwiązują wszystkie problemy związane z poziomem aktualizacji zabezpieczeń z 1 sierpnia 2024 r.
- Poziomy aktualizacji zabezpieczeń z 5 sierpnia 2024 r. lub nowsze rozwiązują wszystkie problemy związane z poziomem aktualizacji zabezpieczeń z 5 sierpnia 2024 r. i wszystkimi poprzednimi poziomami aktualizacji.
Producenci urządzeń, którzy uwzględniają te aktualizacje, powinni ustawić poziom ciągu znaków aktualizacji na:
- [ro.build.version.security_patch]:[2024-08-01]
- [ro.build.version.security_patch]:[2024-08-05]
W przypadku niektórych urządzeń z Androidem 10 lub nowszym aktualizacja systemowa Google Play będzie miała ciąg daty zgodny z poziomem aktualizacji zabezpieczeń z 1 sierpnia 2024 r. Więcej informacji o instalowaniu aktualizacji zabezpieczeń znajdziesz w tym artykule.
2. Dlaczego ten biuletyn ma 2 poziomy poprawek zabezpieczeń?
Ten biuletyn zawiera 2 poziomy poprawek zabezpieczeń, dzięki czemu partnerzy Androida mogą szybciej rozwiązywać podobne luki w zabezpieczeniach na wszystkich urządzeniach z Androidem. Zachęcamy partnerów Androida do rozwiązania wszystkich problemów opisanych w tym biuletynie i korzystania z najnowszego poziomu aktualizacji zabezpieczeń.
- Urządzenia, które korzystają z poziomu aktualizacji zabezpieczeń z 1 sierpnia 2024 r., muszą zawierać wszystkie problemy związane z tym poziomem aktualizacji zabezpieczeń, a także poprawki wszystkich problemów zgłoszonych w poprzednich biuletynach bezpieczeństwa.
- Urządzenia, które korzystają z poziomu aktualizacji zabezpieczeń z 5 sierpnia 2024 r. lub nowszego, muszą zawierać wszystkie odpowiednie poprawki z tego (i poprzednich) biuletynu bezpieczeństwa.
Zachęcamy partnerów do łączenia poprawek wszystkich problemów, które rozwiązują, w jednej aktualizacji.
3. Co oznaczają wpisy w kolumnie Typ?
Wpisy w kolumnie Typ w tabeli szczegółów dotyczących luk w zabezpieczeniach odnoszą się do klasyfikacji luki w zabezpieczeniach.
| Skrót | Definicja |
|---|---|
| RCE | Zdalne wykonanie kodu |
| EoP | Podniesienie uprawnień |
| Identyfikator | Ujawnianie informacji |
| DoS | Atak typu DoS |
| Nie dotyczy | Klasyfikacja niedostępna |
4. Co oznaczają wpisy w kolumnie Numer referencyjny?
Wpisy w kolumnie Numer referencyjny w tabeli szczegółów dotyczących luk w zabezpieczeniach mogą zawierać prefiks identyfikujący organizację, do której należy numer referencyjny.
| Prefiks | Odniesienie |
|---|---|
| A- | Identyfikator błędu Androida |
| QC- | Numer referencyjny Qualcomm |
| M- | Numer referencyjny MediaTek |
| N- | Numer referencyjny NVIDIA |
| B- | Numer referencyjny Broadcom |
| U- | Numer referencyjny UNISOC |
5. Co oznacza gwiazdka (*) obok identyfikatora błędu Androida w kolumnie Numer referencyjny?
Problemy, które nie są dostępne publicznie, mają gwiazdkę obok odpowiedniego identyfikatora referencyjnego. Aktualizacja rozwiązująca ten problem jest zwykle zawarta w najnowszych sterownikach binarnych dla urządzeń Pixel dostępnych na stronie Google Developers.
6. Dlaczego luki w zabezpieczeniach są podzielone między ten biuletyn a biuletyny o zabezpieczeniach urządzeń lub partnerów, takie jak biuletyn dotyczący Pixela?
Luki w zabezpieczeniach udokumentowane w tym biuletynie bezpieczeństwa wymagają deklarowania najnowszego poziomu aktualizacji zabezpieczeń na urządzeniach z Androidem. Dodatkowe luki w zabezpieczeniach udokumentowane w biuletynach bezpieczeństwa urządzenia lub partnera nie są wymagane do zadeklarowania poziomu aktualizacji zabezpieczeń. Producenci urządzeń z Androidem i chipsetów mogą też publikować szczegóły dotyczące luk w zabezpieczeniach swoich produktów, np. Google, Huawei, LGE, Motorola, Nokia czy Samsung.
Wersje
| Wersja | Data | Uwagi |
|---|---|---|
| 1,0 | 5 sierpnia 2024 r. | Biuletyn opublikowany. |
| 1.1 | 24 października 2024 r. | Zaktualizowana tabela CVE |