Sicherheitsbulletin für Android – Juni 2024

Veröffentlicht am 3. Juni 2024 | Aktualisiert: 13. August 2024

Das Wear OS-Sicherheitsbulletin enthält Details zu Sicherheitslücken und Auswirkungen auf die Wear OS-Plattform. Das vollständige Wear OS-Update umfasst den Sicherheitspatch-Level vom 05.06.2024 oder aus dem Android-Sicherheitsbulletin 2024 veröffentlicht haben. in diesem Bulletin.

Wir empfehlen allen Kunden, diese Updates auf ihren Geräten zu akzeptieren.

Das schwerwiegendste Problem ist eine hohe Sicherheitslücke im Framework-Komponente, die zu einer lokalen Rechteausweitung führen könnte, ohne dass zusätzliche Ausführungsberechtigungen. Die Bewertung des Schweregrads basiert auf der Auswirkung, die möglicherweise auf einem betroffenen Gerät ausgenutzt werden, Unter der Annahme, dass die Maßnahmen zur Risikominderung für Plattform und Dienste für die Entwicklung deaktiviert sind oder wenn sie erfolgreich umgangen werden.

Ankündigungen

  • Zusätzlich zu den im Juni 2024 beschriebenen Sicherheitslücken Sicherheitsbulletin für Android und Wear OS vom Juni 2024 enthält speziell für Wear OS-Sicherheitslücken beschriebene Patches unten.

01.06.2024 Details zu Sicherheitslücken auf Sicherheitspatch-Ebene

In den folgenden Abschnitten finden Sie Details zu den einzelnen Sicherheitsfunktionen Sicherheitslücken auf dem Patch-Level vom 01.06.2024. Sicherheitslücken werden unter der jeweiligen Komponente gruppiert. Probleme sind in den folgenden Tabellen beschrieben und umfassen die CVE-ID, die zugehörigen Referenzen, Art der Sicherheitslücke severity und aktualisierte AOSP-Versionen (falls zutreffend). Sofern verfügbar, verknüpfen wir die öffentliche Änderung, die das Problem gelöst hat, mit dem Bug-ID wie die AOSP-Änderungsliste. Wenn sich mehrere Änderungen auf einen einzelnen Fehler beziehen, werden zusätzliche Referenzen die mit Nummern verknüpft sind, die auf die Fehler-ID folgen. Geräte mit Android 10 und höher können Sicherheitsupdates erhalten und Google Play-Systemupdates

Framework

Die Sicherheitslücke in diesem Abschnitt könnte zu einer lokalen Rechteausweitung führen ohne zusätzliche Ausführungsberechtigungen.

CVE Referenzen Typ Wichtigkeit Aktualisierte AOSP-Versionen
CVE-2024-31328 A-319101158 EOP Hoch 13

System

Die schwerste Schwachstelle in diesem Abschnitt könnte zu einer lokalen Eskalation führen. ohne zusätzliche Ausführungsberechtigungen.

CVE Referenzen Typ Wichtigkeit Aktualisierte AOSP-Versionen
CVE-2024-31329 A-310686440 EOP Hoch 13

Häufig gestellte Fragen und Antworten

In diesem Abschnitt finden Sie Antworten auf häufig gestellte Fragen, die nach dem Lesen dieses Artikels auftreten können. .

1. Wie finde ich heraus, ob mein Gerät entsprechend aktualisiert wurde? Probleme?

Wie du den Stand der Sicherheitsupdates eines Geräts prüfen kannst, erfährst du in der Anleitung auf der Aktualisierungszeitplan für Google-Geräte

  • Sicherheitspatch-Levels ab 01.06.2024 alle Probleme im Zusammenhang mit dem Sicherheitspatch vom 01.06.2024

Gerätehersteller, die diese Updates anbieten, sollten den Patch festlegen. Stringebene in:

  • [ro.build.version.security_patch]:[01.06.2024]

Bei einigen Geräten mit Android 10 oder höher wird das Google Play-Systemupdate hat einen Datumsstring, der mit dem 01.06.2024 übereinstimmt. Stand der Sicherheitsupdates. Weitere Informationen um Sicherheitsupdates zu installieren.

2. Was bedeuten die Einträge in der Spalte Typ?

Einträge in der Spalte Typ der Tabelle mit den Details zu Sicherheitslücken Klassifizierung der Sicherheitslücke.

Abkürzung Definition
RCE Codeausführung per Fernzugriff
EOP Rechteausweitung
ID Offenlegung von Informationen
DoS Denial of Service
Klassifizierung nicht verfügbar

3. Was bedeuten die Einträge in der Spalte Referenzen?

Einträge in der Spalte Referenzen der Details zu Sicherheitslücken kann ein Präfix enthalten, das die Organisation angibt, für die der Referenzwert gehört.

Präfix Verweise
A- Android-Programmfehler-ID
Qualitätskontrolle- Qualcomm-Referenznummer
Mo– MediaTek-Referenznummer
N- NVIDIA-Referenznummer
B- Broadcom-Referenznummer
U- UNISOC-Referenznummer

4. Was bedeutet ein * neben der Android-Fehler-ID in den Referenzen? Spaltenmittelwert?

Probleme, die nicht öffentlich verfügbar sind, sind mit einem * neben dem entsprechenden Referenz-ID. Das Update für dieses Problem befindet sich in der Regel in der aktuellen binäre Treiber für Pixel-Geräte, Google Entwicklerwebsite.

5. Warum sind Sicherheitslücken zwischen diesem Bulletin aufgeteilt? und Geräte-/Partner-Sicherheitsbulletins wie die Pixel-Bulletin?

Die in diesem Sicherheitsbulletin dokumentierten Sicherheitslücken sind erforderlich, um das neueste Sicherheitspatch-Level für Android zu deklarieren Geräte. Weitere Sicherheitslücken, die in der Geräte-/Partner-Sicherheitsbulletins sind nicht erforderlich für Sicherheitspatch-Level deklarieren. Hersteller von Android-Geräten und Chipsätzen produktspezifische Details zu Sicherheitslücken veröffentlichen, zum Beispiel Google Huawei LGE Motorola Nokia, oder Samsung.

Versionen

Version Datum Hinweise
1.0 3. Juni 2024 Bulletin veröffentlicht
1,1 13. August 2024 Problemliste aktualisiert