מבזק האבטחה של Android – יוני 2024

פורסם ב-3 ביוני 2024 | תאריך העדכון: 13 באוגוסט 2024

עדכון האבטחה של Wear OS מכיל פרטים על פרצות אבטחה משפיעה על פלטפורמת Wear OS. העדכון המלא של Wear OS כולל את רמת תיקון האבטחה לשנת 5 ביוני 2024, או מאוחר יותר ממבזק האבטחה של Android לחודש יוני 2024, בנוסף לכל בעיות בלוח הזה.

אנחנו ממליצים לכל הלקוחות לאשר את העדכונים האלה במכשירים שלהם.

הבעיה החמורה ביותר של הבעיות האלה היא נקודת חולשה גבוהה באבטחה רכיב מסגרת שעלול להוביל להסלמת הרשאות מקומית (privilege escalation) ללא נדרשות הרשאות ביצוע נוספות. הערכת החומרה מבוססת על ההשפעה וניצול נקודות החולשה במכשיר שנפגע, בהנחה שהפלטפורמה והמיטיגציות בשירות מושבתות לצורכי פיתוח למטרות עסקיות או אם ניתן לעקוף אותה בהצלחה.

הודעות

  • בנוסף לפרצות האבטחה שתוארו ביוני 2024 חדשות האבטחה של Android, עדכון האבטחה של Wear OS לחודש יוני 2024 מכיל תיקונים שמותאמים במיוחד לנקודות חולשה של Wear OS, כפי שמתואר שלמטה.

1 ביוני 2024 פרטי נקודת חולשה ברמת תיקון האבטחה

בסעיפים הבאים אנחנו מציגים פרטים על כל אחת משיטות האבטחה נקודות חולשה שחלות על רמת התיקון בתאריך 1 ביוני 2024. נקודות החולשה מקובצות בהתאם לרכיב שהן משפיעות עליהן. הבעיות מתוארות בטבלאות שבהמשך וכוללות מזהה CVE, התייחסות, סוג נקודת חולשה, חומרה, וגרסאות AOSP מעודכנות (אם רלוונטי). כשמצוין, אנחנו מקשרים את השינוי הגלוי לכולם שהוביל לבעיה אל מזהה באג, כמו רשימת השינויים ב-AOSP. כאשר שינויים מרובים קשורים לבאג אחד, הפניות נוספות מקושר למספרים שמופיעים אחרי מזהה הבאג. מכשירים עם Android מגרסה 10 ואילך עשויים לקבל עדכוני אבטחה וגם Google עדכוני מערכת של Play.

מסגרת

נקודת החולשה שבקטע הזה עלולה להוביל להסלמת הרשאות (privilege escalation) באופן מקומי ללא הרשאות ביצוע נוספות.

CVE קובצי עזר סוג מידת החומרה גרסאות AOSP מעודכנות
CVE-2024-31328 A-319101158 ליש"ט רחב 13

מערכת

נקודת החולשה החמורה ביותר בקטע הזה עלולה להוביל להעברה מקומית לטיפול ברמה גבוהה יותר ללא הרשאות ביצוע נוספות.

CVE קובצי עזר סוג מידת החומרה גרסאות AOSP מעודכנות
CVE-2024-31329 A-310686440 ליש"ט רחב 13

שאלות נפוצות ותשובות

בקטע הזה מפורטות תשובות לשאלות נפוצות שעשויות להתרחש לאחר קריאת המידע מבזק

1. איך אפשר לבדוק אם המכשיר שלי מעודכן לטיפול בבעיות האלה בעיות?

כדי ללמוד איך לבדוק את הרמה של תיקון האבטחה במכשיר, אפשר לקרוא את ההוראות לוח הזמנים של העדכונים של מכשירי Google.

  • רמות תיקון אבטחה של כתובת מ-1 ביוני 2024 ואילך את כל הבעיות שקשורות לתיקון האבטחה שנערך ב-1 ביוני 2024 ברמה.

יצרני מכשירים שכוללים את העדכונים האלה צריכים להגדיר את התיקון רמת מחרוזת ל:

  • [ro.build.version.security_patch]:[2024-06.01]

במכשירים מסוימים עם Android מגרסה 10 ואילך, עדכון המערכת של Google Play תהיה מחרוזת תאריך שתואמת ל-1 ביוני 2024 רמת תיקון האבטחה. אפשר לקרוא פרטים נוספים במאמר הזה כדי להתקין עדכוני אבטחה.

2. מה המשמעות של הערכים שבעמודה סוג?

ערכים בעמודה סוג בטבלת פרטי נקודות החולשה את הסיווג של פרצת האבטחה.

קיצור הגדרה
RCE ביצוע קוד מרחוק
ליש"ט העלאת רמת הרשאה
מזהה חשיפת מידע
מניעת שירות (DoS) התקפת מניעת שירות (DoS)
לא רלוונטי הסיווג לא זמין

3. מה המשמעות של הרשומות בעמודה References (קובצי עזר)?

רשומות מתחת לעמודה References (קובצי עזר) של פרטי פרצת האבטחה עשויה להכיל קידומת שמתארת את הארגון שאליו ערך ההפניה שייך.

תחילית חומרי עזר
A-‎ מזהה באג ב-Android
QC- מספר אסמכתה של Qualcomm
M- מספר סימוכין של MediaTek
N- מספר סימוכין של NVIDIA
B-‎ מספר סימוכין של Broadcom
U- מספר סימוכין של UNISOC

4. מה עושה * לצד מזהה הבאג ב-Android בקובצי העזר ממוצע עמודה?

ליד בעיות שלא זמינות לכולם יש סימן * מזהה ההפניה. העדכון עבור הבעיה הזו מופיע בדרך כלל בגרסת מנהלי התקנים בינאריים למכשירי Pixel שזמינים Google אתר למפתחים.

5. למה נקודות החולשה באבטחה מחולקות בין המבזק הזה וגם עדכוני אבטחה של המכשיר / שותפים, כמו עדכון Pixel?

פרצות האבטחה המתועדות בעדכון האבטחה הזה הן נדרשת להצהיר על הרמה האחרונה של תיקון האבטחה ב-Android מכשירים. פרצות אבטחה נוספות המתועדות אין צורך לעדכן את עדכוני האבטחה של המכשיר או השותפים עבור הצהרה על רמת תיקון אבטחה. יצרנים של מכשירי Android וערכות שבבים עשויים גם לפרסם פרטים על פרצות אבטחה ספציפיות למוצרים שלהם, כמו Google, Huawei, LGE, מוטורולה, Nokia, או Samsung.

גרסאות

גרסה תאריך הערות
1.0 3 ביוני 2024 המבזק פורסם
1.1 13 באוגוסט 2024 רשימת הבעיות עודכנה