בעדכוני האבטחה של Android מפורטים פרטים על נקודות חולשה באבטחה שמשפיעות על מכשירי Android, והן טופלו כחלק מ-Android 15. מכשירי Android 15 עם רמת תיקון אבטחה של 1 בספטמבר 2024 ואילך מוגנים מפני הבעיות האלה (רמת תיקון האבטחה שמוגדרת כברירת מחדל ב-Android 15, כפי שהיא פורסמה ב-AOSP, היא 1 בספטמבר 2024). כדי ללמוד איך איך לבדוק את רמת תיקון האבטחה של המכשיר, אפשר לקרוא את המאמר בדיקה ועדכון של Android .
שותפי Android מקבלים הודעה על כל הבעיות לפני הפרסום. תיקונים של קוד המקור לבעיות האלה יהיו פורסמה למאגר פרויקט הקוד הפתוח של Android (AOSP) חלק מגרסת Android 15.
בהערכת החומרה של הבעיות בנושאים האלה מבוססות על ההשפעה שניצול יכולה להיות נקודת חולשה במכשיר שנפגע, בהנחה הפלטפורמה והמיטיגציות של השירות מושבתות למטרות פיתוח או אם ניתן לעקוף אותה בהצלחה.
לא קיבלנו דיווחים על ניצול פעיל של לקוחות, או ניצול לרעה של הבעיות החדשות המדווחות. מידע נוסף זמין במיטיגציות של Android ו-Google Play Protect. לפרטים על ההגנות על פלטפורמות אבטחה של Android ועל Google Play Protect, שמשפר את האבטחה של Android הפלטפורמה.
הודעות
- הבעיות המתוארות במסמך הזה מטופלות כחלק מהטיפול של Android 15. המידע הזה זמין לעיון במידה הולמת.
- אנחנו רוצים להודות ולהכיר תודה לקהילת חוקרי האבטחה על התרומות המתמשכות שלהם לאבטחת הסביבה העסקית של Android.
Android ו- מיטיגציות בשירותי Google
זהו סיכום של המיטיגציות שמספקות האבטחה של Android בפלטפורמות שונות ובהגנות על שירותים, כמו Google Play Protect. היכולות האלה מצמצמות את הסיכוי לנצל לרעה נקודות חולשה באבטחה ב-Android.
- שיפורים בגרסאות חדשות יותר של פלטפורמת Android מקשים על ניצול של הרבה בעיות ב-Android. אנחנו ממליצים לכל המשתמשים לעדכן של Android כשהדבר אפשרי.
- צוות האבטחה של Android עוקב באופן פעיל אחרי ניצול לרעה באמצעות Google Play Protect ומזהיר משתמשים לגבי אפליקציות שעלולות להזיק (PHA). Google Play Protect מופעל כברירת מחדל במכשירים עם שירותי Google לנייד, חשוב למשתמשים שמתקינים אפליקציות מחוץ ל-Google הפעלה.
15 Android פרטים לגבי נקודת חולשה
בקטעים הבאים מפורטים פרטים על נקודות חולשה באבטחה שתוקנו במסגרת Android 15. נקודות החולשה הן שמקובצת מתחת לרכיב שעליו הן משפיעות, כולל פרטים כמו ה-CVE, הפניות המשויכות, סוג נקודת החולשה וחומרה.
Framework
| CVE | קובצי עזר | סוג | מידת החומרה |
|---|---|---|---|
| CVE-2023-40119 | A-231476072 | EoP | רחב |
| CVE-2024-40678 | A-264844293 | מניעת שירות (DoS) | רחב |
| CVE-2024-43069 | A-259946410 | EoP | רחב |
| CVE-2024-43070 | A-341691431 | מניעת שירות (DoS) | רחב |
| CVE-2024-43071 | A-343169511 | ליש"ט | רחב |
| CVE-2024-43074 | A-329409825 | EOP | רחב |
| CVE-2024-43075 | A-272740688 | EoP | רחב |
| CVE-2024-43076 | A-295395495 | EoP | רחב |
| CVE-2024-43078 | A-290365279 | מזהה | רחב |
| CVE-2024-43092 | A-328017524 | מניעת שירות (DoS) | רחב |
מערכת
| CVE | קובצי עזר | סוג | מידת החומרה |
|---|---|---|---|
| CVE-2023-52160 | A-287119604 | RCE | נמוכה |
| CVE-2024-23694 | A-329067188 | ליש"ט | רחב |
| CVE-2024-43068 | A-275551881 | EoP | רחב |
| CVE-2024-43072 | A-292548775 | ליש"ט | רחב |
| CVE-2024-43073 | A-289924486 | EoP | רחב |
| CVE-2024-43079 | A-352309723 | EoP | רחב |
שאלות נפוצות תשובות
בקטע הזה נענה על שאלות נפוצות שעשויות להתעורר אחרי קריאת העדכון.
1. איך אדע אם המכשיר שלי מעודכן ל- ולטפל בבעיות האלה?
במאמר איך בודקים את רמת תיקון האבטחה של המכשיר ומעדכנים אותה מוסבר איך עושים את זה.
ל-Android 15, שהושק ב-AOSP, יש תיקון אבטחה שמוגדר כברירת מחדל ברמה של 1 בספטמבר 2024. במכשירי Android עם Android 15 ורמת תיקון אבטחה של 1 בספטמבר 2024 ואילך, תוקנו כל הבעיות שמפורטות בעדכוני האבטחה האלה.
2. מה כוללות הערכים בעמודה סוג כלומר?
ערכים בעמודה סוג של פרצת האבטחה טבלת הפרטים מתייחס לסיווג של נקודות החולשה.
| קיצור | הגדרה |
|---|---|
| RCE | ביצוע קוד מרחוק |
| ליש"ט | העלאת רמת הרשאה |
| מזהה | חשיפת מידע |
| מניעת שירות (DoS) | התקפת מניעת שירות (DoS) |
| לא רלוונטי | הסיווג לא זמין |
3. מה המשמעות של הרשומות בעמודה References?
רשומות בעמודה References בטבלת פרטי נקודת החולשה עשויות להכיל קידומת שמזהה את הארגון שאליו שייך ערך ההפניה.
| תחילית | חומרי עזר |
|---|---|
| A- | מזהה הבאג ב-Android |
גרסאות
| גרסה | תאריך | הערות |
|---|---|---|
| 1.0 | 3 בספטמבר 2024 | המבזק פורסם |
| 1.1 | 16 באוקטובר 2024 | המבזק עודכן |