Android 安全公告详细介绍了 会影响 Android 设备的漏洞。安全补丁级别 2024 年 8 月 5 日或之后提交的更新解决了所有这些问题。了解 查看设备的安全补丁级别 支票 并更新您的 Android 版本。
Android 合作伙伴至少在一个月内就收到所有问题的通知 。针对这些问题的源代码补丁将 已在 Android 开源项目 (AOSP) 代码库中 。届时,我们将根据 链接。
这些问题中危险性最高的是安全性较高 可能会导致本地漏洞 升级权限,没有额外的执行权限 所需的资源。通过 严重程度 评估的依据是 利用这些漏洞可能会导致 受影响的设备(假设存在平台和服务缓解措施) 会出于开发目的而停用 。
请参阅 Android 和 Google Play 有关 Android 安全性的详细信息部分,请参阅“保护缓解措施”部分 平台保护和 Google Play 保护机制, Android 平台的安全性
Android 和 Google 服务缓解措施
这一部分总结了 Android 安全 平台和服务防护功能,例如 Google Play 保护机制。这些 有助于降低 可能在 Android 上被成功利用
- Android 上许多问题被利用的可能性更高 较新版本的 Android 中 平台。我们建议所有用户都更新到 Android 版本。
- Android 安全团队会积极监控滥用行为 使用 Google Play 保护机制,并向用户发出警告 潜在有害应用的相关信息。Google 在安装有 Google 移动服务的设备上,Play 保护机制会默认处于启用状态, 对于从 Google 以外的来源安装应用的用户来说至关重要 开始游戏。
2024-08-01 安全补丁级别漏洞详情
我们在下面提供了有关 2024-08-01 补丁涵盖的安全漏洞 。漏洞列在 影响。下表对问题进行了说明,包括 CVE ID、相关参考编号、漏洞类型、 severity、 和经过更新的 AOSP 版本(其中 适用)。如果有公开更改,我们会将 解决了该问题的 bug ID,例如 AOSP 变更列表。 如果某个 bug 有多条相关的更改记录,我们还会 参考编号链接到 bug ID 后面的数字。设备 Android 10 及更高版本的用户可能会收到安全更新 Google Play 系统更新。
框架
以下各项中最严重的漏洞: 此部分可能会导致权限在本地升级,并且没有 需要额外的执行权限。
CVE | 参考编号 | 类型 | 严重程度 | 已更新的 AOSP 版本 |
---|---|---|---|---|
CVE-2023-20971 | A-225880325 | EoP | 高 | 12、12L、13、14 |
CVE-2023-21351 | A-232798676 | EoP | 高 | 12、12L、13 |
CVE-2024-34731 | A-319210610 [2] [3] [4] [5] | EoP | 高 | 12、12L、13、14 |
CVE-2024-34734 | A-304772709 | EoP | 高 | 13, 14 |
CVE-2024-34735 | A-336490997 | EoP | 高 | 12、12L、13 |
CVE-2024-34737 | A-283103220 | EoP | 高 | 12、12L、13、14 |
CVE-2024-34738 | A-336323279 | EoP | 高 | 13, 14 |
CVE-2024-34739 | A-294105066 | EoP | 高 | 12、12L、13、14 |
CVE-2024-34740 | A-307288067 [2] | EoP | 高 | 12、12L、13、14 |
CVE-2024-34741 | A-318683640 | EoP | 高 | 12、12L、13、14 |
CVE-2024-34743 | A-336648613 | EoP | 高 | 14 |
CVE-2024-34736 | A-288549440 | ID | 高 | 12、12L、13、14 |
CVE-2024-34742 | A-335232744 | DoS | 高 | 14 |
系统
本部分中的漏洞 即使没有额外说明, 需要执行特权。
CVE | 参考编号 | 类型 | 严重程度 | 已更新的 AOSP 版本 |
---|---|---|---|---|
CVE-2024-34727 | A-287184435 | ID | 高 | 12、12L、13、14 |
Google Play 系统 最新动态
Google Play 系统中未解决任何安全问题 更新 (Project Mainline)。
2024-08-05 安全补丁级别漏洞详情
我们在下面提供了有关 2024-08-05 补丁涵盖的安全漏洞 。漏洞列在 影响。下表对问题进行了说明,包括 CVE ID、相关参考编号、漏洞类型、 severity、 和经过更新的 AOSP 版本(其中 适用)。如果有公开更改,我们会将 解决了该问题的 bug ID,例如 AOSP 变更列表。 如果某个 bug 有多条相关的更改记录,我们还通过 bug ID 后面的数字链接到了更多参考内容。
内核
本部分中的漏洞 可通过系统执行远程执行代码 需要权限。
CVE | 参考编号 | 类型 | 严重程度 | 子组件 |
---|---|---|---|---|
CVE-2024-36971 |
A-343727534 上游内核 [2] [3] [4] [5] [6] [7] [8] [9] [10] [] [ |
RCE | 高 | 内核 |
Arm 组件
以下漏洞会影响 ARM 组件,并进一步 均可直接从 Arm 获取详细信息。严重程度评估 这些问题由 Arm 直接提供。
CVE | 参考编号 | 严重程度 | 子组件 |
---|---|---|---|
CVE-2024-2937 |
A-339866012 * | 高 | 马里 |
CVE-2024-4607 |
A-339869945 * | 高 | Mali |
Imagination Technologies
此漏洞会影响 Imagination Technologies 组件 如需了解更多详情,请访问 Imagination 技术。已提供此问题的严重程度评估 由 Imagination Technologies 直接销售
CVE | 参考编号 | 严重程度 | 子组件 | |
---|---|---|---|---|
CVE-2024-31333 |
A-331435657 * | 高 | PowerVR-GPU |
MediaTek 组件
此漏洞会影响 MediaTek 组件,并进一步 请直接从 MediaTek 获取详细信息。严重程度 此问题的评估由 MediaTek 直接提供。
CVE | 参考编号 | 严重程度 | 子组件 |
---|---|---|---|
CVE-2024-20082 |
A-344434139 M-MOLY01182594 * |
高 | 调制解调器 |
Qualcomm 组件
以下漏洞会影响 Qualcomm 组件, 相应的 Qualcomm 安全性 公告或安全提醒这些 API 的严重程度评估 由 Qualcomm 直接提供。
CVE | 参考编号 | 严重程度 | 子组件 |
---|---|---|---|
CVE-2024-21478 |
A-323926460 QC-CR#3594987 |
高 | 显示 |
CVE-2024-23381 |
A-339043781 QC-CR#3701594 [2] |
高 | 显示 |
CVE-2024-23382 |
A-339043615 QC-CR#3704061 [2] |
高 | 显示 |
CVE-2024-23383 |
A-339042492 QC-CR#3707659 |
高 | 显示 |
CVE-2024-23384 |
A-339043323 QC-CR#3704870 [2] |
高 | 显示 |
CVE-2024-33010 |
A-339043396 QC-CR#3717571 |
高 | WLAN |
CVE-2024-33011 |
A-339043727 QC-CR#3717567 |
高 | WLAN |
CVE-2024-33012 |
A-339043053 QC-CR#3717566 |
高 | WLAN |
CVE-2024-33013 |
A-339042691 QC-CR#3710085 |
高 | WLAN |
CVE-2024-33014 |
A-339043382 QC-CR#3710081 |
高 | WLAN |
CVE-2024-33015 |
A-339043107 QC-CR#3710080 |
高 | WLAN |
CVE-2024-33018 |
A-339043500 QC-CR#3704796 |
高 | WLAN |
CVE-2024-33019 |
A-339043783 QC-CR#3704794 |
高 | WLAN |
CVE-2024-33020 |
A-339043480 QC-CR#3704762 |
高 | WLAN |
CVE-2024-33023 |
A-339043278 QC-CR#3702019 [2] |
高 | 显示 |
CVE-2024-33024 |
A-339043270 QC-CR#3700072 |
高 | WLAN |
CVE-2024-33025 |
A-339042969 QC-CR#3700045 |
高 | WLAN |
CVE-2024-33026 |
A-339043880 QC-CR#3699954 |
高 | WLAN |
CVE-2024-33027 |
A-316373168 QC-CR#3697522 |
高 | 显示 |
CVE-2024-33028 |
A-339043463 QC-CR#3694338 |
高 | 显示 |
Qualcomm 闭源组件
以下漏洞会影响 Qualcomm 闭源组件 在相应的 Qualcomm 安全公告或安全提醒这些问题的严重程度评估是由 Qualcomm 直接提供的。
CVE | 参考编号 | 严重程度 | 子组件 |
---|---|---|---|
CVE-2024-23350 |
A-323919259 * | 严重 | 闭源组件 |
CVE-2024-21481 |
A-323918669 * | 高 | 闭源组件 |
CVE-2024-23352 |
A-323918787 * | 高 | 闭源组件 |
CVE-2024-23353 |
A-323918845 * | 高 | 闭源组件 |
CVE-2024-23355 |
A-323918338 * | 高 | 闭源组件 |
CVE-2024-23356 |
A-323919081 * | 高 | 闭源组件 |
CVE-2024-23357 |
A-323919249 * | 高 | 闭源组件 |
常见问题和 回答
这一部分解答了 。
1. 如何确定我的设备是否已更新到 能否解决这些问题?
如需了解如何查看设备的安全补丁级别,请参阅 查看并更新 Android 设备 version。
- 如果安全补丁级别是 2024-08-01 或更新,就意味着已解决本公告中所述的所有问题 与 2024-08-01 安全补丁相关的问题 。
- 如果安全补丁级别是 2024-08-05 或更新,就意味着已解决本公告中所述的所有问题 与 2024-08-05 安全补丁级别相关的问题以及 之前的所有补丁级别
预装这些更新的设备制造商应将 将字符串级别修补为:
- [ro.build.version.security_patch]:[2024-08-01]
- [ro.build.version.security_patch]:[2024-08-05]
对于某些搭载 Android 10 或更高版本的设备,Google Play 系统更新的日期字符串将与 2024-08-01 一致 安全补丁级别请参阅这篇文章,详细了解 如何安装安全更新
2. 为何本公告有 2 个安全补丁级别?
本公告有 2 个安全补丁级别 合作伙伴可以灵活地修复一部分漏洞 所有 Android 设备上类似的新变化。Android 设备 我们建议合作伙伴修正本公告中的所有问题,并 使用最新的安全补丁级别。
- 如果设备使用的是 2024-08-01 这一安全补丁级别,就必须遵守 包含与该安全补丁级别相关的所有问题 以及针对之前的“安全性”标签页中列出的所有问题的 发布公告
- 安全补丁级别为 2024-08-05 或 必须包含此(以及 安全公告。
我们建议合作伙伴将所有问题的修复程序打包到一起 在一次更新中解决的问题
3. “类型”列中的条目表示什么意思?
漏洞的“类型”列中的条目 安全分类、 漏洞
缩写词 | 定义 |
---|---|
RCE | 远程代码执行 |
EoP | 提权 |
ID | 信息披露 |
DoS | 拒绝服务攻击 |
N/A | 没有分类 |
4. 参考中的条目 列平均值?
“参考编号”列中 漏洞详情表可能包含用于标识 引用值所属的组织。
前缀 | 参考编号 |
---|---|
A- | Android bug ID |
QC- | Qualcomm 参考编号 |
M- | MediaTek 参考编号 |
N- | NVIDIA 参考编号 |
B- | Broadcom 参考编号 |
U- | UNISOC 参考编号 |
5. 在“参考编号”列中,Android bug ID 旁边的 * 表示什么意思?
如果问题尚未公开发布, 相应的参考 ID。针对该问题的更新是 通常包含在 Pixel 的最新二进制驱动程序中 Google Developers 网站。
6. 为什么要将安全漏洞拆分到 以及设备 / 合作伙伴安全公告,例如 Pixel 公告?
此安全漏洞中记录的安全漏洞 必须提供公告才能声明最新的安全补丁级别 。其他安全漏洞 设备 / 合作伙伴安全公告中记录的 是声明安全补丁级别所必需的。Android 设备和 芯片组制造商也可能会发布安全漏洞 (如 Google、华为、LGE、摩托罗拉、诺基亚或三星)。
版本
版本 | 日期 | 备注 |
---|---|---|
1.0 | 2024 年 8 月 5 日 | 发布了本公告。 |