Queste Note di rilascio sulla sicurezza di Android contengono dettagli delle vulnerabilità di sicurezza che interessano i dispositivi Android e che sono state affrontate nell'ambito di Android 15. I dispositivi Android 15 con un patch di sicurezza del 2024-09-01 o di una data successiva sono protetti questi problemi (Android 15, come rilasciato su AOSP, avrà livello patch di sicurezza predefinito di 01/09/2024). Per scoprire come Controllare il livello patch di sicurezza di un dispositivo. Leggi l'articolo Controllare e aggiornare il livello patch di sicurezza di Android dell'audiodescrizione.
I partner Android vengono informati di tutti i problemi prima del pubblicazione. Le patch del codice sorgente per questi problemi saranno disponibili nel repository AOSP (Android Open Source Project) che fanno parte della release di Android 15.
La valutazione della gravità dei problemi in questi note di rilascio si basano sull'effetto che sfruttando che potrebbe avere su un dispositivo interessato, supponendo le mitigazioni della piattaforma e del servizio siano disattivate per scopi di sviluppo o se viene ignorato.
Non abbiamo ricevuto segnalazioni di sfruttamento attivo dei clienti o di impiego improprio di questi problemi appena segnalati. Fai riferimento alle mitigazioni relative ad Android e Google Play Protect per maggiori dettagli sulle protezioni della piattaforma di sicurezza Android e sulle Play Protect, che migliora la sicurezza di Android completamente gestita.
Annunci
- I problemi descritti in questo documento vengono affrontati nell'ambito di Android 15. Queste informazioni vengono fornite come riferimento e e trasparenza.
- Vogliamo ringraziare la community di ricerca in materia di sicurezza per il suo costante contributo alla protezione dell'ecosistema Android.
Android e Mitigazioni dei servizi Google
Questo è un riepilogo delle mitigazioni fornite dal team di sicurezza Android a livello di piattaforma e di servizi, come Google Play Protect. Queste funzionalità riducono la probabilità che le vulnerabilità di sicurezza possano essere sfruttate su Android.
- Lo sfruttamento di molti problemi su Android è reso più difficile dai miglioramenti nelle versioni più recenti della piattaforma Android. Invitiamo tutti gli utenti a eseguire l'aggiornamento all'ultima versione di Android, se possibile.
- Il team di sicurezza di Android monitora attivamente i comportamenti illeciti tramite Google Play Protect e avvisa dagli utenti sulle applicazioni potenzialmente dannose. Google Play Protect è attivato per impostazione predefinita sui dispositivi con Google Mobile Services ed è particolarmente importante per gli utenti che installano app da fonti diverse da Google Play.
Dettagli sulle vulnerabilità di Android 15
Le sezioni seguenti forniscono dettagli per la sicurezza vulnerabilità risolte come parte di Android 15. Le vulnerabilità sono raggruppate in base al componente interessato e includono dettagli come il CVE, i riferimenti associati, il tipo di vulnerabilità e la gravità.
Framework
| CVE | Riferimenti | Digitazione | Gravità |
|---|---|---|---|
| CVE-2023-40119 | A-231476072 | EoP | Alto |
| CVE-2024-40678 | A-264844293 | DoS | Alto |
| CVE-2024-43069 | A-259946410 | EoP | Alto |
| CVE-2024-43070 | A-341691431 | DoS | Alto |
| CVE-2024-43071 | A-343169511 | EP | Alto |
| CVE-2024-43074 | A-329409825 | Eop | Alto |
| CVE-2024-43075 | A-272740688 | EoP | Alto |
| CVE-2024-43076 | A-295395495 | EP | Alto |
| CVE-2024-43078 | A-290365279 | ID | Alto |
| CVE-2024-43092 | A-328017524 | DoS | Alto |
Sistema
| CVE | Riferimenti | Digitazione | Gravità |
|---|---|---|---|
| CVE-2023-52160 | A-287119604 | RCE | Bassa |
| CVE-2024-23694 | A-329067188 | EoP | Alto |
| CVE-2024-43068 | A-275551881 | EP | Alto |
| CVE-2024-43072 | A-292548775 | EoP | Alto |
| CVE-2024-43073 | A-289924486 | EoP | Alto |
| CVE-2024-43079 | A-352309723 | EoP | Alto |
Domande frequenti e risposte
Questa sezione risponde alle domande frequenti che potrebbero sorgere dopo aver letto questo bollettino.
1. Come faccio a stabilire se il mio dispositivo è aggiornato a a risolvere questi problemi?
Per scoprire come controllare il livello patch di sicurezza di un dispositivo, vedi Controllare e aggiornare Android dell'audiodescrizione.
Android 15, come rilasciato su AOSP, ha una patch di sicurezza predefinita livello del 2024-09-01. Dispositivi Android con Android 15 e con un livello patch di sicurezza del 01/09/2024 o successivo risolve tutti i problemi contenuti in queste note di rilascio per la sicurezza.
2. Che cosa indicano le voci nella colonna Tipo?
Le voci nella colonna Tipo della tabella con i dettagli delle vulnerabilità si riferiscono alla classificazione della vulnerabilità di sicurezza.
| Abbreviazione | Definizione |
|---|---|
| RCE | Esecuzione di codice remota |
| EoP | Elevazione dei privilegi |
| ID | Divulgazione di informazioni |
| DoS | denial of service |
| N/D | Classificazione non disponibile |
3. Che cosa indicano le voci nella colonna Riferimenti?
Le voci nella colonna Riferimenti del la tabella dei dettagli delle vulnerabilità può contenere un prefisso che identifica organizzazione a cui appartiene il valore di riferimento.
| Prefisso | Riferimenti |
|---|---|
| A- | ID bug Android |
Versioni
| Versione | Data | Note |
|---|---|---|
| 1,0 | 3 settembre 2024 | Bollettino pubblicato |
| 1,1 | 16 ottobre 2024 | Bollettino aggiornato |