Biuletyn na temat bezpieczeństwa Androida – listopad 2024 r.

Opublikowano 4 listopada 2024 r.

Biuletyn dotyczący zabezpieczeń Androida zawiera informacje o lukach w zabezpieczeniach, które wpływają na urządzenia z Androidem. Poziomy poprawek zabezpieczeń 2024-11-05 lub nowsze rozwiązują wszystkie te problemy. Aby dowiedzieć się, jak sprawdzić poziom poprawki zabezpieczeń urządzenia, przeczytaj artykuł Sprawdzanie i aktualizowanie wersji Androida.

Partnerzy Androida są powiadamiani o wszystkich problemach co najmniej miesiąc przed publikacją. Poprawki do kodu źródłowego dotyczące tych problemów zostały opublikowane w repozytorium Projektu Android Open Source (AOSP) i połączone z tym biuletynem. Ta wiadomość zawiera również linki do poprawek spoza AOSP.

Najpoważniejszym z tych problemów jest duża luka w zabezpieczeniach komponentu System, która może umożliwić zdalne wykonywanie kodu bez konieczności wykonywania dodatkowych uprawnień. Ocena ważności opiera się na możliwym wpływie wykorzystania luki w zabezpieczeniach na urządzenie, którego dotyczy problem, przy założeniu, że ograniczenia dotyczące platformy i usług są wyłączone do celów programistycznych lub jeśli uda się je ominąć.

Więcej informacji o środkach ochrony platformy zabezpieczeń Androida i Google Play Protect, które zwiększają bezpieczeństwo platformy Android, znajdziesz w sekcji Zapobieganie atakom.

Środki zaradcze dotyczące usług Google i Androida

Oto podsumowanie środków zapobiegawczych oferowanych przez platformę zabezpieczeń Androida oraz zabezpieczenia usług, takie jak Google Play Protect. Dzięki tym funkcjom zmniejsza się prawdopodobieństwo, że luki w zabezpieczeniach zostaną wykorzystane na Androidzie.

  • Wykorzystanie wielu luk w Androidzie jest utrudnione przez ulepszenia w nowszych wersjach platformy Android. Zachęcamy wszystkich użytkowników do zaktualizowania Androida do najnowszej wersji, o ile to możliwe.
  • Zespół ds. bezpieczeństwa Androida aktywnie monitoruje przypadki nadużyć za pomocą Google Play Protect i ostrzega użytkowników o aplikacjach potencjalnie niebezpiecznych. Google Play Protect jest domyślnie włączona na urządzeniach z Usługami mobilnymi Google. Jest ona szczególnie ważna dla użytkowników, którzy instalują aplikacje spoza Google Play.

Poziom aktualizacji zabezpieczeń z 2024-11-01 Szczegóły dotyczące luki w zabezpieczeniach

W sekcjach poniżej znajdziesz szczegółowe informacje o każdej z luk w zabezpieczeniach, które dotyczą poziomu poprawek 2024-11-01. Luki w zabezpieczeniach są pogrupowane według komponentu, na który mają wpływ. Problemy są opisane w tabelach poniżej i zawierają identyfikator CVE, powiązane odniesienia, typ luki, powagę oraz zaktualizowane wersje AOSP (w odpowiednich przypadkach). W razie możliwości łączymy publiczną zmianę, która rozwiązała problem, z identyfikatorem błędu, np. z listą zmian w AOSP. Jeśli z jednym błędem jest powiązanych wiele zmian, dodatkowe odwołania są powiązane z numerami po identyfikatorze błędu. Urządzenia z Androidem 10 lub nowszym mogą otrzymywać aktualizacje zabezpieczeń oraz aktualizacje systemowe Google Play.

Platforma

Najpoważniejsza luka w zabezpieczeniach w tej sekcji może powodować lokalną eskalację uprawnień bez konieczności wykonywania dodatkowych uprawnień.

CVE Pliki referencyjne Typ Poziom Zaktualizowane wersje AOSP
CVE-2024-40660 A-347307756 [2] EoP Wysoki 14, 15
CVE-2024-43081 A-341256043 EoP Wysoki 12, 12L, 13, 14, 15
CVE-2024-43085 A-353712853 EoP Wysoki 12, 12L, 13, 14, 15
CVE-2024-43093 A-341680936 EoP Wysoki 12, 13, 14, 15
CVE-2024-43082 A-296915959 ID Wysoki 12, 12 l
CVE-2024-43084 A-281044385 ID Wysoki 12, 12L, 13, 14, 15
CVE-2024-43086 A-343440463 ID Wysoki 12, 12L, 13, 14, 15

System

Najpoważniejsza luka w zabezpieczeniach w tej sekcji może prowadzić do zdalnego uruchomienia kodu bez konieczności posiadania dodatkowych uprawnień do wykonywania.

CVE Pliki referencyjne Typ Poziom Zaktualizowane wersje AOSP
CVE-2024-43091 A-344620577 RCE Wysoki 12, 12L, 13, 14, 15
CVE-2024-29779 A-329701910 EoP Wysoki 14
CVE-2024-34719 242996380 EoP Wysoki 12, 12 l, 13, 14
CVE-2024-40661 A-308138085 EoP Wysoki 12, 12L, 13, 14
CVE-2024-43080 A-330722900 EoP Wysoki 12, 12L, 13, 14, 15
CVE-2024-43087 A-353700779 EoP Wysoki 12, 12 l, 13, 14, 15
CVE-2024-43088 A-326057017 EoP Wysoki 12, 12 l, 13, 14, 15
CVE-2024-43089 A-304280682 eksploatacja Wysoki 12, 12L, 13, 14, 15
CVE-2024-43090 A-331180422 ID Wysoki 12, 12L, 13, 14
CVE-2024-43083 A-348352288 DoS Wysoki 12, 12L, 13, 14, 15

Aktualizacje systemowe Google Play

Komponenty projektu Mainline obejmują te problemy:

Składnik podrzędny CVE
Interfejs Dokumenty CVE-2024-43093
MediaProvider CVE-2024-43089
Kontroler uprawnień CVE-2024-40661
Wi-Fi CVE-2024-43083

2024-11-05 szczegóły luki w zabezpieczeniach na poziomie poprawki zabezpieczeń

W sekcjach poniżej znajdziesz szczegółowe informacje o każdej z luk w zabezpieczeniach, które dotyczą poziomu poprawek 2024-11-05. Luki w zabezpieczeniach są pogrupowane według komponentu, którego dotyczą. Problemy są opisane w tabelach poniżej i zawierają identyfikator CVE, powiązane odniesienia, typ luki, powagę oraz zaktualizowane wersje AOSP (w odpowiednich przypadkach). W razie możliwości łączymy publiczną zmianę, która rozwiązała problem, z identyfikatorem błędu, np. z listą zmian w AOSP. Jeśli z jednym błędem jest powiązanych wiele zmian, dodatkowe odwołania są powiązane z numerami po identyfikatorze błędu.

Jądro

Najpoważniejsza luka w zabezpieczeniach w tej sekcji może powodować lokalną eskalację uprawnień bez konieczności wykonywania dodatkowych uprawnień.

CVE Pliki referencyjne Typ Poziom Składnik podrzędny
CVE-2024-36978 A-349777785
Kernel upstream [2]
EoP Wysoki Netto
CVE-2024-46740 A-352520660
Jądro zewnętrzne [2] [3] [4] [5] [6] [7] [8]
EoP Wysoki Segregator

Jądro LTS

Zaktualizowano te wersje jądra: Aktualizacje wersji jądra systemu operacyjnego Android w chwili wprowadzenia urządzenia na rynek.

Pliki referencyjne Wersja Androida na start Wersja startowa jądra Minimalna wersja aktualizacji
A-348473863 12 5.4 5.4.274
A-348681334 12 4,19 4.19.312

Imagination Technologies

Te luki w zabezpieczeniach dotyczą komponentów Imagination Technologies. Więcej informacji można uzyskać bezpośrednio od Imagination Technologies. Ocena powagi tych problemów jest dostarczana bezpośrednio przez Imagination Technologies.

CVE Pliki referencyjne Poziom Składnik podrzędny
CVE-2024-34747
A-346643520 * Wysoki PowerVR-GPU
CVE-2024-40671
A-355477536 * Wysoki PowerVR-GPU

Imagination Technologies

Te luki w zabezpieczeniach dotyczą komponentów Imagination Technologies. Więcej informacji można uzyskać bezpośrednio od Imagination Technologies. Ocena powagi tych problemów jest dostarczana bezpośrednio przez Imagination Technologies.

CVE Pliki referencyjne Poziom Składnik podrzędny
CVE-2023-35659
A-350006107 * Wysoki PowerVR-GPU
CVE-2023-35686
A-350527097 * Wysoki PowerVR-GPU
CVE-2024-23715
A-350530745 * Wysoki PowerVR-GPU
CVE-2024-31337
A-337944529 * Wysoki PowerVR-GPU
CVE-2024-34729
A-331437862 * Wysoki PowerVR-GPU

Komponenty MediaTek

Te luki w zabezpieczeniach dotyczą komponentów MediaTek. Więcej informacji można uzyskać bezpośrednio od firmy MediaTek. Ocena powagi tych problemów jest dostarczana bezpośrednio przez MediaTek.

CVE Pliki referencyjne Poziom Składnik podrzędny
CVE-2024-20104
A-363850556
M-ALPS09073261*
Wysoki DA
CVE-2024-20106
A-363849996
M-ALPS08960505*
Wysoki m4u

Komponenty Qualcomm

Te luki w zabezpieczeniach mają wpływ na komponenty Qualcomm i zostały szczegółowo opisane w odpowiednim biuletynie o zabezpieczeniach Qualcomm lub alercie bezpieczeństwa. Ocena wagi tych problemów jest dostarczana bezpośrednio przez firmę Qualcomm.

CVE Pliki referencyjne Poziom Składnik podrzędny
CVE-2024-21455
A-357616450
QC-CR#3839449 [2]
QC-CR#3875202 [2]
Wysoki Jądro
CVE-2024-38402
A-364017423
QC-CR#3890158
Wysoki Jądro
CVE-2024-38405
A-357615761
QC-CR#3754687
Wysoki WLAN
CVE-2024-38415
A-357616194
QC-CR#3775520 [2]
Wysoki Aparat
CVE-2024-38421
A-357616018
QC-CR#3793941
Wysoki Wyświetlacz
CVE-2024-38422
A-357616000
QC-CR#3794268 [2] [3]
Wysoki Audio
CVE-2024-38423
A-357615775
QC-CR#3799033
Wysoki Wyświetlacz
CVE-2024-43047
A-364017103
QC-CR#3883647
Wysoki Jądro

Komponenty Qualcomm typu open source

Te luki w zabezpieczeniach dotyczą komponentów Qualcomm o źródle zamkniętym i są opisane w szczegółach w odpowiednim biuletynie lub ostrzeżeniu dotyczącym zabezpieczeń Qualcomm. Ocena powagi tych problemów jest dostarczana bezpośrednio przez firmę Qualcomm.

standard CVE Pliki referencyjne Poziom Składnik podrzędny
CVE-2024-38408
A-357615875 * Krytyczny Komponent zamknięty
CVE-2024-23385
A-339043003 * Wysoki Komponent typu open source
CVE-2024-38403
A-357615948 * Wysoki Komponent zamknięty
CVE-2024-38424
A-357616230 * Wysoki Komponent zamknięty

Częste pytania i odpowiedzi

W tej sekcji znajdziesz odpowiedzi na najczęstsze pytania, które mogą pojawić się po przeczytaniu tego biuletynu.

1. Jak sprawdzić, czy moje urządzenie jest zaktualizowane i czy naprawiono te problemy?

Aby dowiedzieć się, jak sprawdzić stan aktualizacji zabezpieczeń na urządzeniu, przeczytaj artykuł Sprawdzanie i aktualizowanie wersji Androida.

  • Poziomy aktualizacji zabezpieczeń 2024-11-01 lub nowsze rozwiązują wszystkie problemy związane z poziomem aktualizacji zabezpieczeń 2024-11-01.
  • Poziomy poprawek zabezpieczeń 2024-11-05 lub nowsze rozwiązują wszystkie problemy związane z poziomem poprawek zabezpieczeń 2024-11-05 i wszystkimi poprzednimi poziomami poprawek.

Producenci urządzeń, którzy udostępniają te aktualizacje, powinni ustawić poziom ciągu poprawek na:

  • [ro.build.version.security_patch]:[2024-11-01]
  • [ro.build.version.security_patch]:[2024-11-05]

W przypadku niektórych urządzeń z Androidem 10 lub nowszym aktualizacja systemu Google Play będzie miała ciąg znaków daty odpowiadający poziomowi poprawki zabezpieczeń 2024-11-01. Więcej informacji o instalowaniu aktualizacji zabezpieczeń znajdziesz w tym artykule.

2. Dlaczego w tym komunikacie są 2 poziomy poprawek zabezpieczeń?

Ten biuletyn ma 2 poziomy poprawek zabezpieczeń, dzięki czemu partnerzy Androida mogą szybko usuwać podzbiór luk w zabezpieczeniach, które są podobne w przypadku wszystkich urządzeń z Androidem. Partnerów Androida zachęcamy do rozwiązania wszystkich problemów opisanych w tym biuletynie i do stosowania najnowszej poprawki zabezpieczeń.

  • Urządzenia, na których zainstalowano poprawki zabezpieczeń 1 listopada 2024 r., muszą zawierać wszystkie problemy związane z tym poziomem aktualizacji zabezpieczeń oraz poprawki wszystkich błędów zgłoszonych w poprzednich biuletynach o zabezpieczeniach.
  • Urządzenia z poziomem poprawki zabezpieczeń 2024-11-05 lub nowszym muszą zawierać wszystkie poprawki z tych (i wcześniejszych) biuletynów bezpieczeństwa.

Zachęcamy partnerów do łączenia poprawek dotyczących wszystkich problemów w jednym pakiecie.

3. Co oznaczają wpisy w kolumnie Typ?

Wpisy w kolumnie Typ w tabeli szczegółów podatności odnoszą się do klasyfikacji podatności na zagrożenia.

Skrót Definicja
RCE Wykonywanie kodu zdalnego
eksploatacja Podniesienie uprawnień
ID Ujawnianie informacji
ataki typu DoS Atak typu DoS
Nie dotyczy Klasyfikacja niedostępna

4. Co oznaczają wpisy w kolumnie Odniesienia?

Wpisy w kolumnie References w tabeli ze szczegółami luk w zabezpieczeniach mogą zawierać prefiks identyfikujący organizację, do której należy wartość referencyjna.

Prefiks Źródła wiedzy
A- Identyfikator błędu na Androidzie
QC- Numer referencyjny Qualcomm
M- Numer referencyjny MediaTek
N- Numer referencyjny NVIDIA
B- Numer referencyjny Broadcom
U- Numer referencyjny UNISOC

5. Co oznacza znak * obok identyfikatora błędu Androida w kolumnie Odniesienia?

Problemy, które są niedostępne publicznie, mają symbol * przy odpowiednim identyfikatorze referencyjnym. Aktualizacja, która rozwiązuje ten problem, znajduje się zwykle w najnowszych sterownikach plików binarnych dla urządzeń Pixel dostępnych w witrynie Google Developers.

6. Dlaczego luki w zabezpieczeniach są podzielone między ten biuletyn a biuletyny dotyczące zabezpieczeń urządzeń i partnerów, takie jak biuletyn dotyczący Pixela?

Aby zadeklarować najnowszy poziom poprawek zabezpieczeń na urządzeniach z Androidem, należy uwzględnić luki w zabezpieczeniach opisane w tym biuletynie. Dodatkowe luki w zabezpieczeniach, które są udokumentowane w biuletynach zabezpieczeń urządzenia lub partnera, nie są wymagane do zadeklarowania poziomu poprawek zabezpieczeń. Producenci urządzeń i układów scalonych z Androidem mogą też publikować informacje o lukach w zabezpieczeniach w swoich produktach, takich jak Google, Huawei, LGE, Motorola, NokiaSamsung.

Wersje

Wersja Data Uwagi
1,0 4 listopada 2024 r. Biuletyn został opublikowany.