از سال ۲۰۲۶، برای همسو شدن با مدل توسعه پایدار ترانک و تضمین پایداری پلتفرم برای اکوسیستم، کد منبع را در سه‌ماهه دوم و چهارم در AOSP منتشر خواهیم کرد. برای ساخت و مشارکت در AOSP، android-latest-release استفاده کنید. شاخه مانیفست android-latest-release همیشه به جدیدترین نسخه منتشر شده در AOSP ارجاع می‌دهد. برای اطلاعات بیشتر، به تغییرات در AOSP مراجعه کنید.

این صفحه به‌وسیله ‏Cloud Translation API‏ ترجمه شده است.

بولتن امنیتی اندروید اکتبر 2024

منتشر شده در ۷ اکتبر ۲۰۲۴

بولتن امنیتی اندروید حاوی جزئیاتی از آسیب‌پذیری‌های امنیتی مؤثر بر دستگاه‌های اندروید است. سطوح وصله امنیتی 2024-10-05 یا بالاتر، همه این مشکلات را برطرف می‌کنند. برای یادگیری نحوه بررسی سطح وصله امنیتی دستگاه، به بخش «بررسی و به‌روزرسانی نسخه اندروید» مراجعه کنید.

شرکای اندروید حداقل یک ماه قبل از انتشار از همه مشکلات مطلع می‌شوند. وصله‌های کد منبع برای این مشکلات در مخزن پروژه متن‌باز اندروید (AOSP) منتشر شده و از طریق این بولتن به آنها لینک داده شده است. این بولتن همچنین شامل پیوندهایی به وصله‌های خارج از AOSP است.

شدیدترین این مشکلات، یک آسیب‌پذیری امنیتی بالا در مؤلفه‌ی سیستم است که می‌تواند منجر به اجرای کد از راه دور بدون نیاز به امتیازات اجرایی اضافی شود. ارزیابی شدت بر اساس تأثیری است که سوءاستفاده از این آسیب‌پذیری می‌تواند بر روی دستگاه آسیب‌دیده داشته باشد، با فرض اینکه اقدامات کاهش آسیب‌پذیری پلتفرم و سرویس برای اهداف توسعه غیرفعال شده باشند یا با موفقیت دور زده شوند.

برای جزئیات بیشتر در مورد محافظت‌های پلتفرم امنیتی اندروید و Google Play Protect که امنیت پلتفرم اندروید را بهبود می‌بخشند، به بخش راهکارهای کاهش خطرات اندروید و Google Play Protect مراجعه کنید.

راهکارهای کاهش خطرات اندروید و سرویس‌های گوگل

این خلاصه‌ای از راهکارهای کاهش خطرات ارائه شده توسط پلتفرم امنیتی اندروید و سرویس‌های محافظتی مانند Google Play Protect است. این قابلیت‌ها احتمال سوءاستفاده موفقیت‌آمیز از آسیب‌پذیری‌های امنیتی در اندروید را کاهش می‌دهند.

سوءاستفاده از بسیاری از مشکلات در اندروید با پیشرفت‌های نسخه‌های جدیدتر پلتفرم اندروید دشوارتر شده است. ما به همه کاربران توصیه می‌کنیم در صورت امکان، آخرین نسخه اندروید را به‌روزرسانی کنند.
تیم امنیتی اندروید به طور فعال از طریق Google Play Protect سوءاستفاده‌ها را رصد می‌کند و به کاربران در مورد برنامه‌های بالقوه مضر هشدار می‌دهد. Google Play Protect به طور پیش‌فرض در دستگاه‌هایی با سرویس‌های موبایل گوگل فعال است و به ویژه برای کاربرانی که برنامه‌ها را از خارج از Google Play نصب می‌کنند، بسیار مهم است.

جزئیات آسیب‌پذیری سطح وصله امنیتی 2024-10-01

در بخش‌های زیر، جزئیات مربوط به هر یک از آسیب‌پذیری‌های امنیتی که در سطح وصله 2024-10-01 اعمال می‌شوند را ارائه می‌دهیم. آسیب‌پذیری‌ها بر اساس مؤلفه‌ای که تحت تأثیر قرار می‌دهند، گروه‌بندی شده‌اند. مشکلات در جداول زیر شرح داده شده‌اند و شامل شناسه CVE، منابع مرتبط، نوع آسیب‌پذیری ، شدت و نسخه‌های به‌روزرسانی‌شده AOSP (در صورت وجود) می‌شوند. در صورت وجود، تغییر عمومی که به مشکل پرداخته است را به شناسه اشکال، مانند فهرست تغییرات AOSP، پیوند می‌دهیم. هنگامی که چندین تغییر مربوط به یک اشکال واحد باشد، ارجاعات اضافی به اعداد بعد از شناسه اشکال پیوند داده می‌شوند. دستگاه‌های دارای اندروید 10 و بالاتر ممکن است به‌روزرسانی‌های امنیتی و همچنین به‌روزرسانی‌های سیستم Google Play را دریافت کنند.

چارچوب

شدیدترین آسیب‌پذیری در این بخش می‌تواند منجر به افزایش سطح دسترسی محلی بدون نیاز به مجوزهای اجرایی اضافی شود.

سی وی ای	منابع	نوع	شدت	نسخه‌های AOSP به‌روزرسانی‌شده
CVE-2024-0044	A-307532206 [ 2 ]	ای او پی	بالا	۱۲، ۱۲ لیتر، ۱۳، ۱۴، ۱۵
CVE-2024-40676	الف-۳۴۹۷۸۰۹۵۰	ای او پی	بالا	۱۲، ۱۲ لیتر، ۱۳، ۱۴، ۱۵
CVE-2024-40675	الف-۳۱۸۶۸۳۱۲۶	داس	بالا	۱۲، ۱۲ لیتر، ۱۳، ۱۴

سیستم

شدیدترین آسیب‌پذیری در این بخش می‌تواند منجر به اجرای کد از راه دور بدون نیاز به امتیازات اجرایی اضافی شود.

سی وی ای	منابع	نوع	شدت	نسخه‌های AOSP به‌روزرسانی‌شده
CVE-2024-40673	الف-۳۰۹۹۳۸۶۳۵	آر سی ای	بالا	۱۲، ۱۲ لیتر، ۱۳، ۱۴
CVE-2024-40672	الف-۳۲۷۶۴۵۳۸۷	ای او پی	بالا	۱۲، ۱۲ لیتر، ۱۳، ۱۴
CVE-2024-40677	الف-۳۲۷۷۴۸۸۴۶	ای او پی	بالا	۱۲، ۱۲ لیتر، ۱۳، ۱۴، ۱۵
CVE-2024-40674	الف-۳۴۳۷۱۴۹۱۴	داس	بالا	۱۴

به‌روزرسانی‌های سیستم گوگل پلی

مسائل زیر در اجزای پروژه Mainline گنجانده شده است.

زیرمولفه	سی وی ای
هنر	CVE-2024-40673
وای فای	CVE-2024-40674

جزئیات آسیب‌پذیری سطح وصله امنیتی 2024-10-05

در بخش‌های زیر، جزئیات مربوط به هر یک از آسیب‌پذیری‌های امنیتی که در سطح وصله 2024-10-05 اعمال می‌شوند را ارائه می‌دهیم. آسیب‌پذیری‌ها بر اساس مؤلفه‌ای که تحت تأثیر قرار می‌دهند، گروه‌بندی شده‌اند. مشکلات در جداول زیر شرح داده شده‌اند و شامل شناسه CVE، ارجاعات مرتبط، نوع آسیب‌پذیری ، شدت و نسخه‌های به‌روزرسانی‌شده AOSP (در صورت وجود) می‌شوند. در صورت وجود، تغییر عمومی که به مشکل پرداخته است را به شناسه اشکال، مانند فهرست تغییرات AOSP، پیوند می‌دهیم. هنگامی که چندین تغییر مربوط به یک اشکال واحد باشد، ارجاعات اضافی به اعداد بعد از شناسه اشکال پیوند داده می‌شوند.

فناوری‌های تخیل

این آسیب‌پذیری‌ها بر اجزای Imagination Technologies تأثیر می‌گذارند و جزئیات بیشتر مستقیماً از Imagination Technologies در دسترس است. ارزیابی شدت این مشکلات مستقیماً توسط Imagination Technologies ارائه می‌شود.

سی وی ای	منابع	شدت	زیرمولفه
CVE-2024-34732	الف-۳۴۰۳۳۲۴۲۸ *	بالا	پردازنده گرافیکی PowerVR
CVE-2024-34733	الف-۳۴۰۳۲۹۵۳۲ *	بالا	پردازنده گرافیکی PowerVR
CVE-2024-34748	الف-۳۴۶۶۴۰۸۸۴ *	بالا	پردازنده گرافیکی PowerVR
CVE-2024-40649	الف-۳۴۶۶۳۵۹۷۷ *	بالا	پردازنده گرافیکی PowerVR
CVE-2024-40651	الف-۳۴۶۶۳۳۵۷۶ *	بالا	پردازنده گرافیکی PowerVR
CVE-2024-40669	الف-۳۵۴۲۶۸۷۵۶ *	بالا	پردازنده گرافیکی PowerVR
CVE-2024-40670	الف-۳۵۴۲۶۳۴۶۹ *	بالا	پردازنده گرافیکی PowerVR

اجزای مدیاتک

این آسیب‌پذیری‌ها بر اجزای مدیاتک تأثیر می‌گذارند و جزئیات بیشتر مستقیماً از مدیاتک در دسترس است. ارزیابی شدت این مشکلات مستقیماً توسط مدیاتک ارائه می‌شود.

سی وی ای	منابع	شدت	زیرمولفه
CVE-2024-20100	الف-۳۵۹۶۹۹۰۹۷ M-ALPS08998449 *	بالا	وای‌فای
CVE-2024-20101	الف-۳۵۹۶۹۹۱۰۰ M-ALPS08998901 *	بالا	وای‌فای
CVE-2024-20103	الف-۳۵۹۶۹۲۷۷۰ M-ALPS09001358 *	بالا	وای‌فای
CVE-2024-20090	الف-۳۵۹۶۹۲۹۰۲ M-ALPS09028313 *	بالا	وی دی سی
CVE-2024-20092	الف-۳۵۹۶۹۹۰۹۴ M-ALPS09028313 *	بالا	وی دی سی
CVE-2024-20091	الف-۳۵۹۶۹۹۰۹۱ M-ALPS09028313 *	بالا	وی دی سی
CVE-2024-20093	الف-۳۵۹۶۹۹۰۹۶ M-ALPS09028313 *	بالا	وی دی سی
CVE-2024-20094	الف-۳۵۹۶۹۲۷۷۲ M-MOLY00843282 *	بالا	مودم

اجزای کوالکام

این آسیب‌پذیری‌ها بر اجزای کوالکام تأثیر می‌گذارند و با جزئیات بیشتر در بولتن امنیتی یا هشدار امنیتی کوالکام شرح داده شده‌اند. ارزیابی شدت این مشکلات مستقیماً توسط کوالکام ارائه می‌شود.

سی وی ای	منابع	شدت	زیرمولفه
CVE-2024-33049	الف-۳۴۴۶۲۰۶۳۳ کنترل کیفیت-CR#3717569	بالا	بی‌سیم (WLAN)
CVE-2024-33069	الف-۳۵۰۵۰۰۹۰۷ کنترل کیفیت-CR#3772014	بالا	بی‌سیم (WLAN)
CVE-2024-38399	الف-۳۵۰۵۰۰۶۴۷ شماره کنترل کیفیت: ۳۷۶۲۶۲۹ [ ۲ ]	بالا	نمایش

اجزای متن‌باز کوالکام

این آسیب‌پذیری بر اجزای متن‌باز کوالکام تأثیر می‌گذارد و با جزئیات بیشتر در بولتن امنیتی یا هشدار امنیتی کوالکام شرح داده شده است. ارزیابی شدت این مشکل مستقیماً توسط کوالکام ارائه می‌شود.

سی وی ای	منابع	شدت	زیرمولفه
CVE-2024-23369	الف-۳۳۲۳۱۵۳۴۳ *	بالا	کامپوننت متن‌باز

سوالات و پاسخ‌های رایج

این بخش به سوالات متداولی که ممکن است پس از خواندن این بولتن برای شما پیش بیاید، پاسخ می‌دهد.

۱. چگونه می‌توانم تشخیص دهم که آیا دستگاه من برای رفع این مشکلات به‌روزرسانی شده است یا خیر؟

برای آشنایی با نحوه بررسی سطح وصله امنیتی دستگاه، به بخش «بررسی و به‌روزرسانی نسخه اندروید» مراجعه کنید.

وصله‌های امنیتی سطح 2024-10-01 یا بالاتر، تمام مشکلات مرتبط با سطح وصله امنیتی 2024-10-01 را برطرف می‌کنند.
وصله‌های امنیتی سطح 2024-10-05 یا بالاتر، تمام مشکلات مرتبط با وصله امنیتی سطح 2024-10-05 و تمام وصله‌های قبلی را برطرف می‌کنند.

تولیدکنندگان دستگاه‌هایی که این به‌روزرسانی‌ها را ارائه می‌دهند، باید سطح رشته پچ را روی موارد زیر تنظیم کنند:

[ro.build.version.security_patch]:[2024-10-01]
[ro.build.version.security_patch]:[2024-10-05]

برای برخی از دستگاه‌های دارای اندروید ۱۰ یا بالاتر، به‌روزرسانی سیستم گوگل پلی دارای رشته تاریخی است که با سطح وصله امنیتی ۲۰۲۴-۱۰-۰۱ مطابقت دارد. لطفاً برای جزئیات بیشتر در مورد نحوه نصب به‌روزرسانی‌های امنیتی به این مقاله مراجعه کنید.

۲. چرا این بولتن دو سطح وصله امنیتی دارد؟

این بولتن دارای دو سطح وصله امنیتی است تا شرکای اندروید انعطاف‌پذیری لازم را برای رفع سریع‌تر زیرمجموعه‌ای از آسیب‌پذیری‌هایی که در تمام دستگاه‌های اندروید مشابه هستند، داشته باشند. از شرکای اندروید درخواست می‌شود که تمام مشکلات موجود در این بولتن را برطرف کرده و از آخرین سطح وصله امنیتی استفاده کنند.

دستگاه‌هایی که از سطح وصله امنیتی 2024-10-01 استفاده می‌کنند، باید تمام مشکلات مرتبط با آن سطح وصله امنیتی و همچنین رفع مشکلات گزارش شده در بولتن‌های امنیتی قبلی را شامل شوند.
دستگاه‌هایی که از سطح وصله امنیتی 2024-10-05 یا جدیدتر استفاده می‌کنند، باید تمام وصله‌های مربوطه در این بولتن امنیتی (و بولتن‌های امنیتی قبلی) را شامل شوند.

به شرکا توصیه می‌شود که اصلاحات مربوط به همه مشکلاتی که به آنها می‌پردازند را در یک به‌روزرسانی واحد ارائه دهند.

۳. منظور از ورودی‌های ستون Type چیست؟

ورودی‌های ستون نوع جدول جزئیات آسیب‌پذیری، طبقه‌بندی آسیب‌پذیری امنیتی را نشان می‌دهند.

اختصار	تعریف
آر سی ای	اجرای کد از راه دور
ای او پی	ارتقاء امتیاز
شناسه	افشای اطلاعات
داس	عدم ارائه خدمات
ناموجود	طبقه بندی موجود نیست

۴. منظور از ورودی‌های ستون منابع چیست؟

ورودی‌های زیر ستون References در جدول جزئیات آسیب‌پذیری ممکن است حاوی پیشوندی باشند که سازمانی را که مقدار مرجع به آن تعلق دارد، مشخص می‌کند.

پیشوند	مرجع
الف-	شناسه اشکال اندروید
کنترل کیفیت-	شماره مرجع کوالکام
م-	شماره مرجع مدیاتک
ن-	شماره مرجع NVIDIA
ب-	شماره مرجع Broadcom
یو-	شماره مرجع UNISOC

۵. علامت * در کنار شناسه اشکال اندروید در ستون منابع به چه معناست؟

مشکلاتی که به صورت عمومی در دسترس نیستند، علامت * در کنار شناسه مرجع مربوطه دارند. به‌روزرسانی مربوط به آن مشکل معمولاً در جدیدترین درایورهای باینری برای دستگاه‌های پیکسل موجود در سایت توسعه‌دهندگان گوگل موجود است.

۶. چرا آسیب‌پذیری‌های امنیتی بین این بولتن و بولتن‌های امنیتی شرکای دستگاه، مانند بولتن پیکسل، تقسیم شده‌اند؟

آسیب‌پذیری‌های امنیتی که در این بولتن امنیتی مستند شده‌اند، برای اعلام آخرین سطح وصله امنیتی در دستگاه‌های اندروید الزامی هستند. آسیب‌پذیری‌های امنیتی اضافی که در بولتن‌های امنیتی شریک دستگاه مستند شده‌اند، برای اعلام سطح وصله امنیتی الزامی نیستند. تولیدکنندگان دستگاه‌ها و چیپست‌های اندروید نیز ممکن است جزئیات آسیب‌پذیری امنیتی خاص محصولات خود، مانند گوگل ، هواوی ، ال‌جی ، موتورولا ، نوکیا یا سامسونگ را منتشر کنند.

نسخه‌ها

نسخه	تاریخ	یادداشت‌ها
۱.۰	۷ اکتبر ۲۰۲۴	بولتن منتشر شد.

بولتن امنیتی اندروید اکتبر 2024 با مجموعه‌ها، منظم بمانید ذخیره و طبقه‌بندی محتوا براساس اولویت‌های شما.