ב-Android Security Bulletin (עלון אבטחה של Android) מפורטים פרטים על פרצות אבטחה שמשפיעות על מכשירי Android. רמות תיקון האבטחה של 2024-11-05 ואילך פותרות את כל הבעיות האלה. כך בודקים איזו גרסה של Android מותקנת במכשיר ומעדכנים אותה
שותפים ב-Android מקבלים הודעה על כל הבעיות לפחות חודש לפני הפרסום. תיקונים של קוד המקור לבעיות האלה פורסמו במאגר של פרויקט הקוד הפתוח של Android (AOSP) ומקושרים לפרסום הזה. העלון הזה כולל גם קישורים לתיקונים שלא נכללים ב-AOSP.
הבעיה החמורה ביותר היא פגיעות אבטחה גבוהה ברכיב המערכת, שעלולה להוביל להרצת קוד מרחוק ללא צורך בהרשאות הרצה נוספות. הערכת החומרה מבוססת על ההשפעה שעלולה להיות לניצול הפגיעות במכשיר מושפע, בהנחה שהפלטפורמה והאמצעים לצמצום הסיכון בשירות מושבתים למטרות פיתוח או אם נעקפו בהצלחה.
בקטע אמצעי ההגנה של Android ו-Google Play Protect מפורטים אמצעי ההגנה של פלטפורמת האבטחה של Android ו-Google Play Protect, שמשפרים את האבטחה של פלטפורמת Android.
אמצעי הגנה בשירותי Google וב-Android
זהו סיכום של אמצעי ההגנה שמוצעים על ידי פלטפורמת האבטחה של Android והגנות השירותים, כמו Google Play Protect. היכולות האלה מפחיתות את הסיכוי שנקודות חולשה באבטחה ינוצלו לרעה ב-Android.
- השיפורים בגרסאות חדשות יותר של פלטפורמת Android מקשים על ניצול של הרבה בעיות ב-Android. מומלץ לכל המשתמשים לעבור לגרסה האחרונה של Android, אם אפשר.
- צוות האבטחה של Android עוקב באופן פעיל אחרי התנהלות פוגעת באמצעות Google Play Protect ומזהיר משתמשים מפני אפליקציות שעלולות להזיק. Google Play Protect מופעל כברירת מחדל במכשירים עם שירותי Google לנייד, והוא חשוב במיוחד למשתמשים שמתקינים אפליקציות ממקורות אחרים ולא מחנות Google Play.
רמת תיקון האבטחה 2024-11-01 פרטי הפגיעות
בקטעים הבאים מפורטות כל נקודות החולשה באבטחה שרלוונטיות לרמת התיקון 2024-11-01. נקודות החולשה מקובצות לפי הרכיב שהן משפיעות עליו. בטבלאות שבהמשך מתוארות הבעיות, כולל מזהה CVE, הפניות קשורות, סוג נקודת החולשה, חומרת הבעיה וגרסאות AOSP מעודכנות (אם רלוונטי). אם יש שינוי ציבורי שפותר את הבעיה, אנחנו מקשרים אותו למזהה הבאג, כמו רשימת השינויים ב-AOSP. אם כמה שינויים קשורים לאותו באג, הפניות הנוספות מקושרות למספרים אחרי מזהה הבאג. יכול להיות שמכשירים עם Android 10 ואילך יקבלו עדכוני אבטחה וגם עדכוני מערכת של Google Play.
Framework
נקודת החולשה החמורה ביותר בקטע הזה עלולה להוביל להסלמת הרשאות מקומית ללא צורך בהרשאות ביצוע נוספות.
| CVE | קובצי עזר | סוג | מידת החומרה | גרסאות AOSP מעודכנות |
|---|---|---|---|---|
| CVE-2024-40660 | A-347307756 [2] | EoP | רחב | 14, 15 |
| CVE-2024-43081 | A-341256043 | EoP | רחב | 12, 12L, 13, 14, 15 |
| CVE-2024-43085 | A-353712853 | EoP | רחב | 12, 12L, 13, 14, 15 |
| CVE-2024-43082 | A-296915959 | מזהה | רחב | 12, 12L |
| CVE-2024-43084 | A-281044385 | מזהה | רחב | 12, 12L, 13, 14, 15 |
| CVE-2024-43086 | A-343440463 | מזהה | רחב | 12, 12L, 13, 14, 15 |
מערכת
פרצת האבטחה החמורה ביותר בקטע הזה עלולה להוביל להרצת קוד מרחוק ללא צורך בהרשאות הרצה נוספות.
| CVE | קובצי עזר | סוג | מידת החומרה | גרסאות AOSP מעודכנות |
|---|---|---|---|---|
| CVE-2024-43091 | A-344620577 | RCE | רחב | 12, 12L, 13, 14, 15 |
| CVE-2024-29779 | A-329701910 | EoP | רחב | 14 |
| CVE-2024-34719 | A-242996380 | EoP | רחב | 12, 12L, 13, 14 |
| CVE-2024-40661 | A-308138085 | EoP | רחב | 12, 12L, 13, 14 |
| CVE-2024-43080 | A-330722900 | EoP | רחב | 12, 12L, 13, 14, 15 |
| CVE-2024-43087 | A-353700779 | EoP | רחב | 12, 12L, 13, 14, 15 |
| CVE-2024-43088 | A-326057017 | EoP | רחב | 12, 12L, 13, 14, 15 |
| CVE-2024-43089 | A-304280682 | EoP | רחב | 12, 12L, 13, 14, 15 |
| CVE-2024-43090 | A-331180422 | מזהה | רחב | 12, 12L, 13, 14 |
| CVE-2024-43083 | A-348352288 | DoS | רחב | 12, 12L, 13, 14, 15 |
עדכוני מערכת של Google Play
הבעיות הבאות כלולות ברכיבים של Project Mainline.
| רכיב משנה | CVE |
|---|---|
| MediaProvider | CVE-2024-43089 |
| בקר הרשאות | CVE-2024-40661 |
| Wi-Fi | CVE-2024-43083 |
2024-11-05 פרטים על פגיעות ברמת תיקון האבטחה
בקטעים הבאים מפורטות כל פגיעויות האבטחה שרלוונטיות לרמת התיקון 2024-11-05. נקודות החולשה מקובצות לפי הרכיב שהן משפיעות עליו. בטבלאות שבהמשך מתוארות הבעיות, כולל מזהה CVE, הפניות קשורות, סוג נקודת החולשה, חומרת הבעיה וגרסאות AOSP מעודכנות (אם רלוונטי). אם יש שינוי ציבורי שפותר את הבעיה, אנחנו מקשרים אותו למזהה הבאג, כמו רשימת השינויים ב-AOSP. אם כמה שינויים קשורים לאותו באג, הפניות הנוספות מקושרות למספרים אחרי מזהה הבאג.
בועה
נקודת החולשה החמורה ביותר בקטע הזה עלולה להוביל להסלמת הרשאות מקומית ללא צורך בהרשאות ביצוע נוספות.
| CVE | קובצי עזר | סוג | מידת החומרה | רכיב משנה |
|---|---|---|---|---|
| CVE-2024-36978 |
A-349777785
Upstream kernel [2] |
EoP | רחב | נטו |
| CVE-2024-46740 |
A-352520660
Upstream kernel [2] [3] [4] [5] [6] [7] [8] |
EoP | רחב | קלסר |
Kernel LTS
גרסאות הליבה הבאות עודכנו. עדכונים של גרסת הליבה תלויים בגרסת מערכת ההפעלה Android בזמן השקת המכשיר.
| קובצי עזר | גרסת ההשקה של Android | גרסת ההשקה של הליבה | גרסת העדכון המינימלית |
|---|---|---|---|
| A-348473863 | 12 | 5.4 | 5.4.274 |
| A-348681334 | 12 | 4.19 | 4.19.312 |
Imagination Technologies
נקודות החולשה האלה משפיעות על רכיבים של Imagination Technologies, ופרטים נוספים זמינים ישירות מ-Imagination Technologies. הערכת חומרת הבעיות האלה מסופקת ישירות על ידי Imagination Technologies.
| CVE | קובצי עזר | מידת החומרה | רכיב משנה |
|---|---|---|---|
| CVE-2024-34747 |
A-346643520 * | רחב | PowerVR-GPU |
| CVE-2024-40671 |
A-355477536 * | רחב | PowerVR-GPU |
Imagination Technologies
נקודות החולשה האלה משפיעות על רכיבים של Imagination Technologies, ופרטים נוספים זמינים ישירות מ-Imagination Technologies. הערכת חומרת הבעיות האלה מסופקת ישירות על ידי Imagination Technologies.
| CVE | קובצי עזר | מידת החומרה | רכיב משנה |
|---|---|---|---|
| CVE-2023-35659 |
A-350006107 * | רחב | PowerVR-GPU |
| CVE-2023-35686 |
A-350527097 * | רחב | PowerVR-GPU |
| CVE-2024-23715 |
A-350530745 * | רחב | PowerVR-GPU |
| CVE-2024-31337 |
A-337944529 * | רחב | PowerVR-GPU |
| CVE-2024-34729 |
A-331437862 * | רחב | PowerVR-GPU |
רכיבי MediaTek
נקודות החולשה האלה משפיעות על רכיבי MediaTek, ופרטים נוספים זמינים ישירות מ-MediaTek. הערכת חומרת הבעיות האלה מסופקת ישירות על ידי MediaTek.
| CVE | קובצי עזר | מידת החומרה | רכיב משנה |
|---|---|---|---|
| CVE-2024-20104 |
A-363850556
M-ALPS09073261 * |
רחב | DA |
| CVE-2024-20106 |
A-363849996
M-ALPS08960505 * |
רחב | m4u |
רכיבי Qualcomm
נקודות החולשה האלה משפיעות על רכיבי Qualcomm, והן מתוארות בפירוט נוסף בעדכון האבטחה הדחוף או בהתראת האבטחה המתאימים של Qualcomm. חברת Qualcomm מספקת ישירות את הערכת חומרת הבעיות האלה.
| CVE | קובצי עזר | מידת החומרה | רכיב משנה |
|---|---|---|---|
| CVE-2024-21455 |
A-357616450
QC-CR#3839449 [2] QC-CR#3875202 [2] |
רחב | בועה |
| CVE-2024-38402 |
A-364017423
QC-CR#3890158 |
רחב | בועה |
| CVE-2024-38405 |
A-357615761
QC-CR#3754687 |
רחב | WLAN |
| CVE-2024-38415 |
A-357616194
QC-CR#3775520 [2] |
רחב | מצלמה |
| CVE-2024-38421 |
A-357616018
QC-CR#3793941 |
רחב | תצוגה |
| CVE-2024-38422 |
A-357616000
QC-CR#3794268 [2] [3] |
רחב | אודיו |
| CVE-2024-38423 |
A-357615775
QC-CR#3799033 |
רחב | תצוגה |
| CVE-2024-43047 |
A-364017103
QC-CR#3883647 |
רחב | בועה |
רכיבים של Qualcomm עם מקור סגור
הפגיעויות האלה משפיעות על רכיבי קוד סגור של Qualcomm, והן מתוארות בפירוט נוסף בפרסום האבטחה או בהתראת האבטחה המתאימים של Qualcomm. הערכת החומרה של הבעיות האלה מסופקת ישירות על ידי Qualcomm.
| CVE | קובצי עזר | מידת החומרה | רכיב משנה |
|---|---|---|---|
| CVE-2024-38408 |
A-357615875 * | קריטית | רכיב מקור סגור |
| CVE-2024-23385 |
A-339043003 * | רחב | רכיב מקור סגור |
| CVE-2024-38403 |
A-357615948 * | רחב | רכיב מקור סגור |
| CVE-2024-38424 |
A-357616230 * | רחב | רכיב מקור סגור |
שאלות ותשובות נפוצות
בקטע הזה תמצאו תשובות לשאלות נפוצות שעשויות להתעורר אחרי קריאת העלון הזה.
1. איך אפשר לדעת אם המכשיר שלי עודכן כדי לפתור את הבעיות האלה?
כך בודקים איזו גרסה של Android מותקנת במכשיר ומעדכנים אותה
- רמות תיקון האבטחה מ-2024-11-01 ואילך מטפלות בכל הבעיות שקשורות לרמת תיקון האבטחה מ-2024-11-01.
- רמות תיקון האבטחה מ-2024-11-05 ואילך מטפלות בכל הבעיות שמשויכות לרמת תיקון האבטחה מ-2024-11-05 ולכל רמות התיקון הקודמות.
יצרני מכשירים שכוללים את העדכונים האלה צריכים להגדיר את הרמה של מחרוזת התיקון לערך:
- [ro.build.version.security_patch]:[2024-11-01]
- [ro.build.version.security_patch]:[2024-11-05]
במכשירים מסוימים עם Android 10 ואילך, עדכון מערכת Google Play יכלול מחרוזת תאריך שתואמת לרמת תיקון האבטחה 2024-11-01. במאמר הזה מוסבר איך להתקין עדכוני אבטחה.
2. למה בפרסום הזה יש שתי רמות של תיקוני אבטחה?
במאמר הזה יש שתי רמות של תיקוני אבטחה, כדי ששותפי Android יוכלו לתקן במהירות קבוצת משנה של פגיעויות שדומות בכל מכשירי Android. אנחנו ממליצים לשותפי Android לפתור את כל הבעיות שמפורטות בעלון הזה ולהשתמש ברמת תיקון האבטחה העדכנית ביותר.
- מכשירים שמשתמשים ברמת תיקון האבטחה 2024-11-01 חייבים לכלול את כל הבעיות שמשויכות לרמת תיקון האבטחה הזו, וגם תיקונים לכל הבעיות שדווחו בפרסומים קודמים בנושא אבטחה.
- מכשירים שמשתמשים ברמת תיקון האבטחה 2024-11-05 או חדשה יותר חייבים לכלול את כל התיקונים הרלוונטיים בפרסום הזה (ובפרסומים הקודמים) בנושא אבטחה.
אנחנו ממליצים לשותפים לאגד את התיקונים לכל הבעיות שהם מטפלים בהן בעדכון אחד.
3. מה המשמעות של הערכים בעמודה Type (סוג)?
הערכים בעמודה סוג בטבלת פרטי נקודת החולשה מתייחסים לסיווג של נקודת החולשה באבטחה.
| קיצור | הגדרה |
|---|---|
| RCE | ביצוע קוד מרחוק |
| EoP | העלאת רמת ההרשאה |
| מזהה | גילוי נאות לגבי מידע |
| DoS | התקפת מניעת שירות (DoS) |
| לא רלוונטי | הסיווג לא זמין |
4. מה המשמעות של הערכים בעמודה הפניות?
רשומות בעמודה References בטבלת פרטי הפגיעות עשויות להכיל קידומת שמזהה את הארגון שאליו שייך ערך ההפניה.
| תחילית | חומרי עזר |
|---|---|
| A- | מזהה הבאג ב-Android |
| QC- | מספר סימוכין של Qualcomm |
| M- | מספר סימוכין של MediaTek |
| N- | מספר סימוכין של NVIDIA |
| B- | מספר סימוכין של Broadcom |
| U- | מספר סימוכין של UNISOC |
5. מה המשמעות של הכוכבית (*) לצד מזהה הבאג ב-Android בעמודה References?
לבעיות שלא זמינות לציבור יש * ליד מזהה ההפניה המתאים. העדכון לבעיה הזו בדרך כלל כלול במנהלי ההתקנים הבינאריים העדכניים ביותר למכשירי Pixel שזמינים באתר Google Developers.
6. למה פגיעויות האבטחה מחולקות בין העלון הזה לבין עלונים בנושא אבטחה של מכשירים או שותפים, כמו העלון של Pixel?
כדי להצהיר על רמת תיקון האבטחה העדכנית במכשירי Android, צריך לתקן את נקודות החולשה באבטחה שמתועדות בחדשות האבטחה האלה. לא נדרש להצהיר על רמת תיקון אבטחה לגבי נקודות חולשה נוספות באבטחה שמפורטות בפרסומי האבטחה של המכשיר או השותף. יצרנים של מכשירי Android וערכות שבבים עשויים לפרסם גם פרטים על פגיעויות אבטחה שספציפיות למוצרים שלהם, כמו Google, Huawei, LGE, Motorola, Nokia או Samsung.
גרסאות
| גרסה | תאריך | הערות |
|---|---|---|
| 1.0 | 4 בנובמבר 2024 | הודעה לציבור פורסמה. |