החל משנת 2026, כדי להתאים למודל הפיתוח היציב שלנו ולשמור על יציבות הפלטפורמה בסביבה העסקית, נפרסם קוד מקור ב-AOSP ברבעון השני וברבעון הרביעי. כדי ליצור ולתרום ל-AOSP, צריך להשתמש ב-android-latest-release. הענף android-latest-release manifest תמיד יפנה לגרסה האחרונה שנדחפה ל-AOSP. מידע נוסף זמין במאמר שינויים ב-AOSP.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

עדכון אבטחה דחוף ל-Android באוקטובר 2024

פורסם ב-7 באוקטובר 2024

חדשות האבטחה של Android מכילות פרטים על נקודות חולשה שמשפיעות על מכשירי Android. תיקוני אבטחה מרמה 2024-10-05 ואילך פותרים את כל הבעיות האלה. במאמר איך בודקים ומעדכנים את גרסת Android שמותקנת במכשיר מוסבר איך בודקים את רמת תיקוני האבטחה במכשיר.

שותפי Android מקבלים הודעה על כל הבעיות לפחות חודש לפני הפרסום. תיקוני קוד המקור לבעיות האלה פורסמו במאגר של פרויקט הקוד הפתוח של Android‏ (AOSP) ומקושרים מהעדכון הזה. העלון הזה כולל גם קישורים לתיקונים מחוץ ל-AOSP.

הבעיה החמורה ביותר היא פרצת אבטחה ברמה גבוהה ברכיב המערכת, שעלולה להוביל להרצת קוד מרחוק ללא צורך בהרשאות ביצוע נוספות. הערכת חומרת הפגיעות מבוססת על ההשפעה האפשרית של ניצול הפגיעות על מכשיר מושפע, בהנחה שהפלטפורמה והשירותים להפחתת הסיכון מושבתים למטרות פיתוח או אם נעקפו בהצלחה.

בקטע אמצעי ההגנה של Android ו-Google Play Protect מפורטים אמצעי ההגנה של פלטפורמת האבטחה של Android ו-Google Play Protect, שמשפרים את האבטחה של פלטפורמת Android.

אמצעי ההגנה בשירותי Google וב-Android

זהו סיכום של אמצעי ההגנה שמסופקים על ידי פלטפורמת האבטחה של Android והגנות השירותים, כמו Google Play Protect. היכולות האלה מצמצמות את הסיכוי שנקודות חולשה באבטחה ינוצלו לרעה ב-Android.

בגרסאות חדשות יותר של פלטפורמת Android יש שיפורים שמקשים על ניצול של הרבה בעיות. מומלץ לכל המשתמשים לעדכן לגרסה האחרונה של Android, אם אפשר.
צוות האבטחה של Android עוקב באופן פעיל אחרי ניצול לרעה באמצעות Google Play Protect, ומזהיר משתמשים מפני אפליקציות שעלולות להזיק. ‫Google Play Protect מופעל כברירת מחדל במכשירים עם שירותי Google לנייד, והוא חשוב במיוחד למשתמשים שמתקינים אפליקציות ממקורות אחרים ולא מ-Google Play.

פרטים על נקודת החולשה ברמת תיקוני האבטחה – 01.10.2024

בקטעים הבאים מפורטות נקודות החולשה באבטחה שרלוונטיות לרמת התיקון 2024-10-01. נקודות החולשה מקובצות לפי הרכיב שהן משפיעות עליו. הבעיות מתוארות בטבלאות שבהמשך, וכוללות את מזהה ה-CVE, הפניות למקורות חיצוניים, סוג נקודת החולשה, חומרת הבעיה ומספרי הגרסאות המעודכנות של AOSP (אם רלוונטי). כשאפשר אנחנו מקשרים את התיקון שפורסם ופותר את הבעיה למזהה של הבאג, כמו ברשימת השינויים ב-AOSP. אם כמה עדכונים קשורים לאותו באג, אנחנו מקשרים מקורות נוספים למספרים שמופיעים אחרי המזהה של הבאג. מכשירים עם Android מגרסה 10 ואילך עשויים לקבל עדכוני אבטחה וגם עדכוני מערכת של Google Play.

Framework

נקודת החולשה החמורה ביותר בקטע הזה עלולה להוביל להסלמת הרשאות מקומית ללא צורך בהרשאות ביצוע נוספות.

CVE	קובצי עזר	סוג	מידת החומרה	גרסאות AOSP מעודכנות
CVE-2024-0044	A-307532206 [2]	EoP	גבוהה	‫12, 12L, 13, 14, 15
CVE-2024-40676	A-349780950	EoP	גבוהה	‫12, 12L, 13, 14, 15
CVE-2024-40675	A-318683126	מניעת שירות (DoS)	גבוהה	‫12, 12L, ‏ 13, ‏ 14

מערכת

הפרצה החמורה ביותר בקטע הזה עלולה להוביל להרצת קוד מרחוק ללא צורך בהרשאות ביצוע נוספות.

CVE	קובצי עזר	סוג	מידת החומרה	גרסאות AOSP מעודכנות
CVE-2024-40673	A-309938635	RCE	גבוהה	‫12, 12L, ‏ 13, ‏ 14
CVE-2024-40672	A-327645387	EoP	גבוהה	‫12, 12L, ‏ 13, ‏ 14
CVE-2024-40677	A-327748846	EoP	גבוהה	‫12, 12L, 13, 14, 15
CVE-2024-40674	A-343714914	מניעת שירות (DoS)	גבוהה	14

עדכוני מערכת של Google Play

הבעיות הבאות כלולות ברכיבי Project Mainline.

רכיב משנה	CVE
ART	CVE-2024-40673
Wi-Fi	CVE-2024-40674

פרטים על נקודת החולשה ברמת תיקוני האבטחה – 05.10.2024

בקטעים הבאים מפורטות כל נקודות החולשה באבטחה שרלוונטיות לרמת התיקון 2024-10-05. נקודות החולשה מקובצות לפי הרכיב שהן משפיעות עליו. הבעיות מתוארות בטבלאות שבהמשך, וכוללות את מזהה ה-CVE, הפניות למקורות חיצוניים, סוג נקודת החולשה, חומרת הבעיה ומספרי הגרסאות המעודכנות של AOSP (אם רלוונטי). כשאפשר אנחנו מקשרים את התיקון שפורסם ופותר את הבעיה למזהה של הבאג, כמו ברשימת השינויים ב-AOSP. אם כמה עדכונים קשורים לאותו באג, אנחנו מקשרים מקורות נוספים למספרים שמופיעים אחרי המזהה של הבאג.

Imagination Technologies

נקודות החולשה האלה משפיעות על רכיבים של Imagination Technologies. פרטים נוספים זמינים ישירות מ-Imagination Technologies. הערכת חומרת הבעיות האלה מסופקת ישירות על ידי Imagination Technologies.

CVE	הפניות למקור חיצוני	מידת החומרה	רכיב משנה
CVE-2024-34732	A-340332428 *	גבוהה	PowerVR-GPU
CVE-2024-34733	A-340329532 *	גבוהה	PowerVR-GPU
CVE-2024-34748	A-346640884 *	גבוהה	PowerVR-GPU
CVE-2024-40649	A-346635977 *	גבוהה	PowerVR-GPU
CVE-2024-40651	A-346633576 *	גבוהה	PowerVR-GPU
CVE-2024-40669	A-354268756 *	גבוהה	PowerVR-GPU
CVE-2024-40670	A-354263469 *	גבוהה	PowerVR-GPU

רכיבים של MediaTek

הנקודות האלה של חולשת האבטחה משפיעות על רכיבי MediaTek, ופרטים נוספים זמינים ישירות מ-MediaTek. הערכת חומרת הבעיות האלה מסופקת ישירות על ידי MediaTek.

CVE	הפניות למקור חיצוני	מידת החומרה	רכיב משנה
CVE-2024-20100	A-359699097 M-ALPS08998449 *	גבוהה	wlan
CVE-2024-20101	A-359699100 M-ALPS08998901 *	גבוהה	wlan
CVE-2024-20103	A-359692770 M-ALPS09001358 *	גבוהה	wlan
CVE-2024-20090	A-359692902 M-ALPS09028313 *	גבוהה	vdec
CVE-2024-20092	A-359699094 M-ALPS09028313 *	גבוהה	vdec
CVE-2024-20091	A-359699091 M-ALPS09028313 *	גבוהה	vdec
CVE-2024-20093	A-359699096 M-ALPS09028313 *	גבוהה	vdec
CVE-2024-20094	A-359692772 M-MOLY00843282 *	גבוהה	מודם

רכיבים של Qualcomm

נקודות החולשה האלה משפיעות על רכיבים של Qualcomm, והן מתוארות בפירוט בחדשות האבטחה או בהתראת האבטחה המתאימים של Qualcomm. הערכת חומרת הבעיות האלה מסופקת ישירות על ידי Qualcomm.

CVE	הפניות למקור חיצוני	מידת החומרה	רכיב משנה
CVE-2024-33049	A-344620633 QC-CR#3717569	גבוהה	WLAN
CVE-2024-33069	A-350500907 QC-CR#3772014	גבוהה	WLAN
CVE-2024-38399	A-350500647 QC-CR#3762629 [2]	גבוהה	תצוגה

רכיבים של Qualcomm שהקוד שלהם סגור

נקודת החולשה הזו משפיעה על רכיבים של Qualcomm שהקוד שלהם סגור, והיא מתוארת בפירוט נוסף בעדכון אבטחה דחוף או בהתראת האבטחה המתאימים של Qualcomm. הערכת חומרת הבעיה הזו מסופקת ישירות על ידי Qualcomm.

CVE	הפניות למקור חיצוני	מידת החומרה	רכיב משנה
CVE-2024-23369	A-332315343 *	גבוהה	רכיב שהקוד שלו סגור

שאלות נפוצות ותשובות

בקטע הזה תמצאו תשובות לשאלות נפוצות שיכולות לעלות אחרי שתקראו את פרטי העדכון הזה.

1. איך אפשר לבדוק אם המכשיר שלי קיבל את העדכון שפותר את הבעיות האלה?

במאמר איך בודקים ומעדכנים את גרסת Android מוסבר איך בודקים את רמת תיקון האבטחה במכשיר.

תיקוני אבטחה מרמה 2024-10-01 ואילך פותרים את כל הבעיות שמשויכות להם.
רמות תיקוני האבטחה מ-2024-10-05 ואילך פותרות את כל הבעיות שמשויכות לרמת תיקוני האבטחה מ-2024-10-05 וגם את אלה שמשויכות לכל רמות התיקונים הקודמות.

יצרני מכשירים שכוללים את העדכונים האלה צריכים להגדיר את הרמה של מחרוזת התיקון ל:

[ro.build.version.security_patch]:[2024-10-01]
[ro.build.version.security_patch]:[2024-10-05]

במכשירים מסוימים עם Android מגרסה 10 ואילך, עדכון המערכת של Google Play יכלול מחרוזת תאריך שתואמת לרמת תיקון האבטחה 2024-10-01. במאמר הזה מוסבר איך להתקין עדכוני אבטחה.

2. למה בחדשות האבטחה האלה יש שתי רמות של תיקוני אבטחה?

בחדשות האבטחה האלה יש שתי רמות של תיקוני אבטחה, כדי ששותפי Android יוכלו לתקן במהירות רבה יותר קבוצת משנה של נקודות חולשה שדומות בכל מכשירי Android. אנחנו ממליצים לשותפי Android לפתור את כל הבעיות שמפורטות בחדשות האבטחה האלה ולהשתמש ברמת תיקוני האבטחה העדכנית ביותר.

במכשירים שמשתמשים בתיקוני אבטחה ברמה 2024-10-01, צריך לכלול את כל הבעיות שמשויכות לרמת תיקוני האבטחה הזו, וגם תיקונים לכל הבעיות שדווחו בחדשות אבטחה קודמות.
מכשירים שמשתמשים בתיקוני אבטחה מרמה 2024-10-05 ואילך חייבים לכלול את כל התיקונים הרלוונטיים בעדכון האבטחה הזה (ובעדכוני אבטחה קודמים).

אנחנו ממליצים לשותפים לאגד את התיקונים לכל הבעיות שהם מטפלים בהן בעדכון אחד.

3. מה המשמעות של הערכים בעמודה סוג?

הערכים בעמודה סוג בטבלת הפרטים של נקודות החולשה מתייחסים לסיווג שלהן.

קיצור	ההגדרה
RCE	הרצת קוד מרחוק
EoP	רמת הרשאה גבוהה יותר
ID	חשיפת מידע
מניעת שירות (DoS)	התקפת מניעת שירות
N/A	אין סיווג

4. מה המשמעות של הערכים בעמודה הפניות למקורות חיצוניים?

מידע על הערכים בעמודה הפניות למקורות חיצוניים בטבלה של פרטי נקודות החולשה: יש מקרים שבהם לערך יש תחילית שמציינת לאיזה ארגון משויך מקור המידע החיצוני.

תחילית	מקור המידע החיצוני
A-‎	מזהה הבאג ב-Android
QC-	מספר סימוכין של Qualcomm
M-‎	מספר סימוכין של MediaTek
N-	מספר סימוכין של NVIDIA
B-‎	מספר סימוכין של Broadcom
U-	מספר סימוכין של UNISOC

5. מה המשמעות של הכוכבית (*) לצד מזהה הבאג ב-Android בעמודה הפניות למקור חיצוני?

אם הנתונים על הבעיה לא פורסמו לציבור הרחב, יש סימן * לצד מזהה ההפניה המתאים. העדכון לבעיה הזו בדרך כלל כלול במנהלי ההתקנים הבינאריים העדכניים ביותר למכשירי Pixel שזמינים באתר Google Developers.

6. למה חלק מנקודות החולשה מפורטות כאן וחלק בחדשות האבטחה של שותפי המכשירים, כמו אלה של Pixel?

כדי שנוכל להצהיר על רמת תיקוני האבטחה הכי עדכנית במכשירי Android, אנחנו חייבים לתעד בחדשות האבטחה האלה את נקודות החולשה הרלוונטיות. אין צורך לתעד נקודות חולשה נוספות שמתועדות בעדכוני האבטחה הדחופים של שותפי המכשירים כדי להצהיר על רמת תיקוני אבטחה. יצרנים של מכשירי Android וערכות שבבים עשויים לפרסם גם פרטים על פגיעויות אבטחה שספציפיות למוצרים שלהם, כמו Google,‏ Huawei,‏ LGE,‏ Motorola,‏ Nokia או Samsung.

גרסאות

הגרסה	תאריך	הערות
1.0	‫7 באוקטובר 2024	עדכון האבטחה פורסם.

עדכון אבטחה דחוף ל-Android באוקטובר 2024 קל לארגן דפים בעזרת אוספים אפשר לשמור ולסווג תוכן על סמך ההעדפות שלך.