הערות הגרסה האלה בנושא אבטחה ב-Android מכילות פרטים על נקודות חולשה שמשפיעות על מכשירי Android, שטופלו במסגרת Android 15. מכשירי Android 15 עם רמת תיקוני האבטחה 2024-09-01 ואילך מוגנים מפני הבעיות האלה (ב-Android 15, כפי שפורסם ב-AOSP, רמת תיקוני האבטחה תהיה 2024-09-01 כברירת מחדל). במאמר איך בודקים ומעדכנים את גרסת Android מוסבר איך בודקים את רמת תיקוני האבטחה במכשיר.
שותפי Android מקבלים הודעה על כל הבעיות לפני הפרסום. תיקוני קוד המקור לבעיות האלה יפורסמו במאגר של פרויקט קוד פתוח של Android (AOSP) כחלק מהגרסה של Android 15.
הערכת חומרת הבעיות בהערות הגרסה האלה מבוססת על ההשפעה שעלולה להיות לניצול הפגיעות במכשיר מושפע, בהנחה שהפלטפורמה והשירותים להפחתת הסיכון מושבתים למטרות פיתוח או אם נעקפו בהצלחה.
לא קיבלנו דיווחים על ניצול פעיל של לקוחות או על שימוש לרעה בבעיות שדווחו לאחרונה. בקטע אמצעי ההגנה של Android ו-Google Play Protect מפורטים אמצעי ההגנה של פלטפורמת האבטחה של Android ו-Google Play Protect, שמשפרים את האבטחה של פלטפורמת Android.
הודעות
- הבעיות שמתוארות במסמך הזה נפתרות במסגרת Android 15. המידע הזה מסופק למטרות עיון ושקיפות.
- אנחנו רוצים להודות לקהילת המחקר בנושא אבטחה על התרומה המתמשכת שלה לאבטחת הסביבה העסקית של Android.
אמצעי ההגנה בשירותי Google וב-Android
זהו סיכום של אמצעי ההגנה שמוצעים על ידי פלטפורמת האבטחה של Android והגנות השירותים, כמו Google Play Protect. היכולות האלה מצמצמות את הסיכוי שנקודות חולשה באבטחה ינוצלו לרעה ב-Android.
- בגרסאות חדשות יותר של פלטפורמת Android יש שיפורים שמקשים על ניצול של הרבה בעיות. מומלץ לכל המשתמשים לעדכן לגרסה האחרונה של Android, אם אפשר.
- צוות האבטחה של Android עוקב באופן פעיל אחרי ניצול לרעה באמצעות Google Play Protect ומזהיר משתמשים מפני אפליקציות שעלולות להזיק. Google Play Protect מופעל כברירת מחדל במכשירים עם שירותי Google לנייד, והוא חשוב במיוחד למשתמשים שמתקינים אפליקציות ממקורות אחרים ולא מ-Google Play.
פרטים על נקודת החולשה ב-Android 15
בקטעים הבאים מפורטות פגיעויות האבטחה שתוקנו במסגרת Android 15. נקודות החולשה מקובצות לפי הרכיב שהן משפיעות עליו, וכוללות פרטים כמו CVE, הפניות למקורות חיצוניים, סוג נקודת החולשה וחומרת הבעיה.
Framework
| CVE | קובצי עזר | סוג | מידת החומרה |
|---|---|---|---|
| CVE-2023-40119 | A-231476072 | EoP | גבוהה |
| CVE-2024-4628 | A-281849097 | EoP | גבוהה |
| CVE-2024-23718 | A-316152378 | EoP | גבוהה |
| CVE-2024-43069 | A-259946410 | EoP | גבוהה |
| CVE-2024-43071 | A-343169511 | EoP | גבוהה |
| CVE-2024-43074 | A-329409825 | EoP | גבוהה |
| CVE-2024-43075 | A-272740688 | EoP | גבוהה |
| CVE-2024-43076 | A-295395495 | EoP | גבוהה |
| CVE-2024-49711 | A-307947153 | EoP | גבוהה |
| CVE-2024-49716 | A-262567997 | EoP | גבוהה |
| CVE-2024-49726 | A-266131956 | EoP | גבוהה |
| CVE-2024-43078 | A-290365279 | מזהה | גבוהה |
| CVE-2024-40678 | A-264844293 | מניעת שירות (DoS) | גבוהה |
| CVE-2024-43070 | A-341691431 | מניעת שירות (DoS) | גבוהה |
| CVE-2024-43092 | A-328017524 | מניעת שירות (DoS) | גבוהה |
| CVE-2024-49710 | A-266578603 | מניעת שירות (DoS) | גבוהה |
| CVE-2024-49715 | A-266826735 | מניעת שירות (DoS) | גבוהה |
| CVE-2024-49718 | A-266433337 | מניעת שירות (DoS) | גבוהה |
| CVE-2024-49719 | A-266826084 | מניעת שירות (DoS) | גבוהה |
מערכת
| CVE | קובצי עזר | סוג | מידת החומרה |
|---|---|---|---|
| CVE-2024-23694 | A-329067188 | EoP | גבוהה |
| CVE-2024-43068 | A-275551881 | EoP | גבוהה |
| CVE-2024-43072 | A-292548775 | EoP | גבוהה |
| CVE-2024-43073 | A-289924486 | EoP | גבוהה |
| CVE-2024-43079 | A-352309723 | EoP | גבוהה |
| CVE-2024-49712 | A-328399894 | EoP | גבוהה |
| CVE-2024-49717 | A-345867870 | EoP | גבוהה |
| CVE-2024-49725 | A-262237198 | EoP | גבוהה |
| CVE-2025-48557 | A-337781186 | EoP | גבוהה |
| CVE-2025-32351 | A-270151891 | מזהה | גבוהה |
שאלות נפוצות ותשובות
בקטע הזה תמצאו תשובות לשאלות נפוצות שיכולות לעלות אחרי שתקראו את פרטי העדכון הזה.
1. איך אפשר לבדוק אם המכשיר שלי קיבל את העדכון שפותר את הבעיות האלה?
במאמר איך בודקים ומעדכנים את גרסת Android מוסבר איך בודקים את רמת תיקון האבטחה במכשיר.
ב-Android 15, כפי שפורסם ב-AOSP, רמת תיקון האבטחה שמוגדרת כברירת מחדל היא 2024-09-01. במכשירי Android עם Android 15 ורמת תיקון אבטחה מ-2024-09-01 ואילך, כל הבעיות שמפורטות בנתוני הגרסה האלה בנושא אבטחה נפתרות.
2. מה המשמעות של הערכים בעמודה סוג?
הערכים בעמודה סוג בטבלת הפרטים של נקודות החולשה מתייחסים לסיווג שלהן.
| קיצור | ההגדרה |
|---|---|
| RCE | הרצת קוד מרחוק |
| EoP | רמת הרשאה גבוהה יותר |
| ID | חשיפת מידע |
| מניעת שירות (DoS) | התקפת מניעת שירות |
| N/A | אין סיווג |
3. מה המשמעות של הערכים בעמודה הפניות למקורות חיצוניים?
מידע על הערכים בעמודה הפניות למקורות חיצוניים בטבלה של פרטי נקודות החולשה: יש מקרים שבהם לערך יש תחילית שמציינת לאיזה ארגון משויך מקור המידע החיצוני.
| תחילית | מקור המידע החיצוני |
|---|---|
| A- | מזהה הבאג ב-Android |
גרסאות
| הגרסה | תאריך | הערות |
|---|---|---|
| 1.0 | 3 בספטמבר 2024 | תאריך פרסום העדכון |
| 1.1 | 16 באוקטובר 2024 | עדכון האבטחה עודכן |