מבזק אבטחה של Wear OS – יולי 2024

פורסם ב-3 ביולי 2024

עדכון האבטחה של Wear OS מכיל פרטים על פרצות אבטחה שמשפיעות על פלטפורמת Wear OS. העדכון המלא של Wear OS כולל את רמת תיקון האבטחה משנת 2024 ביולי 2024 ואילך מעדכון האבטחה של Android לחודש יולי 2024, בנוסף לכל הבעיות שבעדכון הזה.

אנחנו ממליצים לכל הלקוחות לאשר את העדכונים האלה במכשירים שלהם.

הבעיה החמורה ביותר של הבעיות האלה היא נקודת חולשה גבוהה באבטחה ברכיב Framework שעלולה להוביל להסלמת הרשאות (privilege escalation) באופן מקומי ללא הרשאות ביצוע נוספות. הערכת החומרה מבוססת על ההשפעה האפשרית לניצול של נקודת החולשה על המכשיר המושפע, בהנחה שהפלטפורמה והקלות לגבי השירות מושבתות למטרות פיתוח או אם אפשר לעקוף אותה בהצלחה.

הודעות

  • בנוסף לפרצות האבטחה שמתוארות ביולי 2024, עדכון האבטחה של Android ב-Android , עדכון האבטחה של Wear OS לחודש יולי 2024 כולל גם תיקונים ספציפיים לנקודות חולשה של Wear OS, כפי שמתואר בהמשך.

01.07.2024 פרטי נקודות חולשה ברמה של תיקון האבטחה

בסעיפים שבהמשך אנחנו מציגים פרטים על כל נקודות החולשה באבטחה שחלות על רמת התיקון בתאריך 1 ביולי 2024. נקודות החולשה מקובצות בהתאם לרכיב שהן משפיעות עליהן. הבעיות מתוארות בטבלאות שבהמשך וכוללות מזהה CVE, הפניות קשורות, סוג נקודת החולשה, חומרה וגרסאות AOSP מעודכנות (אם רלוונטי). אנחנו מקשרים את השינוי הגלוי לכולם שהוביל לבעיה אל מזהה הבאג, כמו רשימת השינויים של AOSP. אם מספר שינויים קשורים לבאג אחד, הפניות נוספות מקושרות למספרים שמופיעים אחרי מזהה הבאג. מכשירים עם Android מגרסה 10 ואילך עשויים לקבל עדכוני אבטחה וגם עדכוני מערכת של Google Play.

מערכת

נקודת החולשה החמורה ביותר בקטע הזה עלולה להוביל להסלמת הרשאות (privilege escalation) מקומית ללא צורך בהרשאות ביצוע נוספות.

CVE קובצי עזר Type מידת החומרה גרסאות AOSP מעודכנות
CVE-2024-31338 A-324406734 ליש"ט High (גבוה) 13

שאלות נפוצות ותשובות

הקטע הזה עונה על שאלות נפוצות שעשויות להתרחש לאחר קריאת המבזק הזה.

1. איך אפשר לבדוק אם המכשיר שלי מעודכן לטיפול בבעיות האלה?

למידע על בדיקת הרמה של תיקון האבטחה במכשיר, מומלץ לקרוא את ההוראות בלוח הזמנים של עדכוני מכשיר Google.

  • רמות תיקון האבטחה מגרסה 1.7.2024 ואילך מתייחסות לכל הבעיות שקשורות לרמת תיקון האבטחה משנת 2024.

יצרני מכשירים שכוללים את העדכונים האלה צריכים להגדיר את רמת המחרוזת של התיקון כך:

  • [ro.build.version.security_patch]:[2024-07.01]

במכשירים מסוימים עם Android מגרסה 10 ואילך, עדכון המערכת של Google Play יכלול מחרוזת תאריך שתואמת לרמת תיקון האבטחה משנת 2024. במאמר הזה אפשר לקרוא פרטים נוספים על התקנת עדכוני האבטחה.

2. מה המשמעות של הערכים שבעמודה סוג?

רשומות בעמודה Type (סוג) בטבלת הפרטים של נקודת החולשה מתייחסות לסיווג של נקודת החולשה באבטחה.

קיצור הגדרה
RCE ביצוע קוד מרחוק
ליש"ט הרשאות ברמה גבוהה יותר
מזהה חשיפת מידע
מניעת שירות (DoS) התקפת מניעת שירות (DoS)
לא רלוונטי הסיווג לא זמין

3. מה המשמעות של הרשומות בעמודה References (קובצי עזר)?

רשומות מתחת לעמודה References בטבלה של פרטי נקודת החולשה עשויות להכיל קידומת שמציינת את הארגון שאליו שייך ערך ההפניה.

תחילית חומרי עזר
A-‎ מזהה באג ב-Android
QC- מספר סימוכין של Qualcomm
M- מספר סימוכין של MediaTek
N- מספר סימוכין של NVIDIA
B-‎ מספר סימוכין של Broadcom
U- מספר סימוכין של UNISOC

4. מה המשמעות של * לצד מזהה הבאג ב-Android בעמודה References ?

בבעיות שלא זמינות לכולם, סימן * לצד מזהה ההפניה התואם. העדכון לבעיה הזו נכלל בדרך כלל במנהלי ההתקנים הבינאריים העדכניים ביותר למכשירי Pixel, שזמינים באתר Google למפתחים.

5. למה נקודות החולשה באבטחה מחולקות בין המבזק הזה לבין עדכוני האבטחה של מכשיר או שותף, כמו העדכון של Pixel?

פרצות האבטחה המתועדות בעדכון האבטחה הזה נדרשות להצהיר על הרמה העדכנית ביותר של תיקון האבטחה במכשירי Android. נקודות חולשה נוספות באבטחה שמתועדות בעדכון האבטחה של המכשיר או השותף לא נדרשות להצהרה על רמת תיקון אבטחה. יצרנים של מכשירי Android וערכות שבבים עשויים גם לפרסם פרטים לגבי נקודות חולשה באבטחה שלהם שספציפיות למוצרים שלהם. למשל Google, Huawei, LGE, Motorola, Nokia, או Samsung.

גרסאות

גרסה תאריך אפליקציות לרישום הערות
1.0 3 ביולי 2024 המבזק פורסם