בעדכוני הגרסה האלה של Android Security מפורטים פרטים על נקודות חולשה באבטחה שמשפיעות על מכשירי Android, והן טופלו כחלק מ-Android 15. מכשירי Android 15 עם רמת תיקון אבטחה של 1 בספטמבר 2024 ואילך מוגנים מפני הבעיות האלה (רמת תיקון האבטחה שמוגדרת כברירת מחדל ב-Android 15, כפי שהיא פורסמה ב-AOSP, היא 1 בספטמבר 2024). במאמר איך בודקים את גרסת Android ומעדכנים אותה מוסבר איך בודקים את רמת תיקון האבטחה של המכשיר.
שותפי Android מקבלים הודעה על כל הבעיות לפני הפרסום. תיקוני קוד המקור לבעיות האלה יפורסמו במאגר של Android Open Source Project (AOSP) כחלק מהגרסה של Android 15.
הערכת החומרה של הבעיות שמפורטות בפתקים האלה מבוססת על ההשפעה האפשרית של ניצול נקודת החולשה על המכשיר המושפע, בהנחה שהאמצעי למזעור הפגיעות בפלטפורמה ובשירות מושבתים למטרות פיתוח או אם הם עוקפים בהצלחה.
לא קיבלנו דיווחים על ניצול פעיל של לקוחות או על ניצול לרעה של הבעיות החדשות שדווחו. בקטע אמצעי המיטיגציה של Android ו-Google Play Protect מפורט מידע על ההגנות של פלטפורמת האבטחה של Android ועל Google Play Protect, שמשפרים את האבטחה של פלטפורמת Android.
הודעות
- הבעיות המתוארות במסמך הזה טופלו כחלק מ-Android 15. המידע הזה מוצג לצורך עיון ושקיפות.
- אנחנו רוצים להודות ולהודות לקהילת המחקר בתחום האבטחה על התרומה המתמשכת שלה לאבטחה של הסביבה העסקית של Android.
הפחתת ההשפעה על שירותי Android ו-Google
זהו סיכום של ההקלות שפלטפורמת האבטחה של Android מספקת וההגנות על השירותים, כמו Google Play Protect. היכולות האלה מפחיתות את הסיכוי לניצול מוצלח של נקודות חולשה באבטחה ב-Android.
- הניצול של בעיות רבות ב-Android קשה יותר בגלל שיפורים בגרסאות חדשות יותר של פלטפורמת Android. אנחנו ממליצים לכל המשתמשים לעדכן לגרסה האחרונה של Android, אם אפשר.
- צוות האבטחה של Android עוקב באופן פעיל אחרי התנהלות פוגעת באמצעות Google Play Protect, ומזהיר את המשתמשים לגבי אפליקציות שעלולות להזיק. שירותי Google Play Protect מופעלים כברירת מחדל במכשירים עם שירותי Google לנייד, והוא חשוב במיוחד למשתמשים שמתקינים אפליקציות מחוץ ל-Google Play.
פרטי נקודת החולשה ב-Android 15
בקטעים הבאים מפורטים פרטים על נקודות חולשה באבטחה שתוקנו במסגרת Android 15. נקודות החולשה מקובצות לפי הרכיב שבו הן משפיעות, וכוללות פרטים כמו מספר ה-CVE, הפניות משויכות, סוג נקודת החולשה ומידת החומרה.
Framework
| CVE | קובצי עזר | סוג | מידת החומרה |
|---|---|---|---|
| CVE-2023-40119 | A-231476072 | EoP | רחב |
| CVE-2024-40678 | A-264844293 | מניעת שירות (DoS) | רחב |
| CVE-2024-43069 | A-259946410 | EoP | רחב |
| CVE-2024-43070 | A-341691431 | מניעת שירות (DoS) | רחב |
| CVE-2024-43071 | A-343169511 | ליש"ט | רחב |
| CVE-2024-43074 | A-329409825 | EOP | רחב |
| CVE-2024-43075 | A-272740688 | ליש"ט | רחב |
| CVE-2024-43076 | A-295395495 | EoP | רחב |
| CVE-2024-43078 | A-290365279 | מזהה | רחב |
| CVE-2024-43092 | A-328017524 | מניעת שירות (DoS) | רחב |
מערכת
| CVE | קובצי עזר | סוג | מידת החומרה |
|---|---|---|---|
| CVE-2023-52160 | A-287119604 | RCE | נמוכה |
| CVE-2024-23694 | A-329067188 | EoP | רחב |
| CVE-2024-43068 | A-275551881 | EoP | רחב |
| CVE-2024-43072 | A-292548775 | EoP | רחב |
| CVE-2024-43073 | A-289924486 | ליש"ט | רחב |
| CVE-2024-43079 | A-352309723 | EoP | רחב |
שאלות נפוצות ותשובות
בקטע הזה נענה על שאלות נפוצות שעשויות להתעורר אחרי קריאת העדכון.
1. איך אפשר לדעת אם המכשיר מעודכן כדי לטפל בבעיות האלה?
כדי ללמוד איך בודקים את הרמה של תיקון האבטחה במכשיר, ראו איך בודקים ומעדכנים את גרסת Android במכשיר.
בגרסת Android 15, שהושקה ב-AOSP, ברירת המחדל היא רמת תיקון האבטחה בתאריך 1 בספטמבר 2024. במכשירי Android עם Android 15 ורמת תיקון אבטחה של 1 בספטמבר 2024 ואילך, תוקנו כל הבעיות שמפורטות בעדכוני האבטחה האלה.
2. מה המשמעות של הרשומות בעמודה Type?
הרשומות בעמודה Type בטבלת הפרטים של נקודת החולשה מתייחסות לסיווג של נקודת החולשה באבטחה.
| קיצור | הגדרה |
|---|---|
| RCE | ביצוע קוד מרחוק |
| EoP | הסלמת הרשאות |
| מזהה | חשיפת מידע |
| מניעת שירות (DoS) | התקפת מניעת שירות (DoS) |
| לא רלוונטי | הסיווג לא זמין |
3. מה המשמעות של הרשומות בעמודה References?
רשומות בעמודה References בטבלת פרטי נקודת החולשה עשויות להכיל קידומת שמזהה את הארגון שאליו שייך ערך ההפניה.
| תחילית | חומרי עזר |
|---|---|
| A- | מזהה הבאג ב-Android |
גרסאות
| גרסה | תאריך | הערות |
|---|---|---|
| 1.0 | 3 בספטמבר 2024 | פורסם עדכון |
| 1.1 | 16 באוקטובר 2024 | העדכון עודכן |