Biuletyn na temat bezpieczeństwa Wear OS zawiera szczegółowe informacje o lukach w zabezpieczeniach, które mają wpływ na platformę Wear OS. Pełna aktualizacja Wear OS obejmuje poprawki zabezpieczeń z 5 lipca 2024 r. lub nowsze podane w biuletynie na temat bezpieczeństwa Androida z lipca 2024 roku, a także wszystkie problemy wymienione w tym biuletynie.
Zachęcamy wszystkich klientów do zaakceptowania tych aktualizacji na swoich urządzeniach.
Najpoważniejszy z tych problemów to duża luka w zabezpieczeniach w komponencie Framework, która może spowodować lokalną eskalację uprawnień bez konieczności wykonywania dodatkowych uprawnień. Ocena poziomu ważności opiera się na możliwym wpływie wykorzystania luki w zabezpieczeniach na urządzenie, którego dotyczy problem, przy założeniu, że ograniczenia dotyczące platformy i usługi są wyłączone do celów programistycznych lub jeśli uda się je ominąć.
Ogłoszenia
- Oprócz luk w zabezpieczeniach opisanych w biuletynie na temat bezpieczeństwa Androida z lipca 2024 r. Biuletyn na temat bezpieczeństwa Wear OS z lipca 2024 r. zawiera też poprawki przeznaczone specjalnie do tych luk w zabezpieczeniach, które opisaliśmy poniżej.
Szczegóły luk w zabezpieczeniach na poziomie poprawek zabezpieczeń 01.07.2024
W poniższych sekcjach znajdziesz szczegółowe informacje o każdej lukie w zabezpieczeniach, która pojawia się w aktualizacjach z 1 lipca 2024 r. Luki w zabezpieczeniach są pogrupowane według komponentu, na który mają wpływ. Problemy zostały opisane w tabelach poniżej. Obejmują one identyfikator CVE, powiązane odwołania, typ luki w zabezpieczeniach, wagę oraz zaktualizowane wersje AOSP (w stosownych przypadkach). Gdy jest to możliwe, powiązaliśmy publiczną zmianę, która dotyczyła problemu, z identyfikatorem błędu, np. z listą zmian AOSP. Jeśli z jednym błędem jest powiązanych wiele zmian, dodatkowe odwołania są powiązane z numerami po identyfikatorze błędu. Urządzenia z Androidem 10 lub nowszym mogą otrzymywać aktualizacje zabezpieczeń oraz aktualizacje systemowe Google Play.
System
Najpoważniejsza luka w zabezpieczeniach w tej sekcji może spowodować lokalną eskalację uprawnień bez konieczności wykonywania dodatkowych uprawnień.
| standard CVE | Pliki referencyjne | Typ | Poziom | Zaktualizowane wersje AOSP |
|---|---|---|---|---|
| CVE-2024-31338 | A-324406734 | eksploatacja | Wysoki | 13 |
Częste pytania i odpowiedzi
W tej sekcji znajdziesz odpowiedzi na najczęstsze pytania, które mogą się pojawić po przeczytaniu tego biuletynu.
1. Jak sprawdzić, czy moje urządzenie zostało zaktualizowane, aby rozwiązać te problemy?
Aby dowiedzieć się, jak sprawdzić stan aktualizacji zabezpieczeń na urządzeniu, zapoznaj się z instrukcjami w harmonogramie aktualizacji urządzeń Google.
- Poprawki zabezpieczeń z 1 lipca 2024 r. lub nowsze rozwiązuje wszystkie problemy związane z poprawką zabezpieczeń z 1 lipca 2024 r.
Producenci urządzeń, którzy uwzględniają te aktualizacje, powinni ustawić poziom ciągu poprawki na:
- [ro.build.version.security_patch]:[1.07.2024]
W przypadku niektórych urządzeń z Androidem 10 lub nowszym aktualizacja systemowa Google Play będzie zawierać ciąg znaków daty zgodny ze stanem aktualizacji zabezpieczeń z 1 lipca 2024 r. Więcej informacji o instalowaniu aktualizacji zabezpieczeń znajdziesz w tym artykule.
2. Co oznaczają wpisy w kolumnie Typ?
Wpisy w kolumnie Typ w tabeli ze szczegółami luk w zabezpieczeniach odnoszą się do klasyfikacji luki w zabezpieczeniach.
| Skrót | Definicja |
|---|---|
| RCE | Zdalne wykonywanie kodu |
| eksploatacja | Podniesienie uprawnień |
| ID | Ujawnianie informacji |
| ataki typu DoS | Atak typu DoS |
| Nie dotyczy | Klasyfikacja niedostępna |
3. Co oznaczają wpisy w kolumnie Pliki referencyjne?
Wpisy w kolumnie References w tabeli ze szczegółami luk w zabezpieczeniach mogą zawierać prefiks identyfikujący organizację, do której należy wartość referencyjna.
| Prefiks | Odniesienia |
|---|---|
| A- | Identyfikator błędu Androida |
| QC- | Numer referencyjny Qualcomm |
| M | Numer referencyjny MediaTek |
| Pn | Numer referencyjny NVIDIA |
| B- | Numer referencyjny Broadcom |
| U | Numer referencyjny UNISOC |
4. Co oznacza symbol * obok identyfikatora błędu Androida w kolumnie References?
Problemy, które są niedostępne publicznie, mają oznaczenie * obok odpowiedniego identyfikatora referencyjnego. Aktualizacja tego problemu zwykle znajduje się w najnowszych sterownikach binarnych urządzeń Pixel dostępnych w witrynie Google Developers.
5. Dlaczego luki w zabezpieczeniach są podzielone między ten biuletyn a biuletyny o zabezpieczeniach urządzeń / partnerów, takie jak biuletyn o telefonie Pixel?
Luki w zabezpieczeniach opisane w tym biuletynie zabezpieczeń są wymagane przy zadeklarowaniu najnowszego poziomu poprawek zabezpieczeń na urządzeniach z Androidem. Zadeklarowanie poziomu poprawek zabezpieczeń nie wymaga użycia dodatkowych luk w zabezpieczeniach, które są udokumentowane w biuletynach zabezpieczeń urządzeń / partnerów. Producenci urządzeń z Androidem i układów scalonych mogą też publikować szczegółowe informacje o lukach w zabezpieczeniach swoich produktów, takich jak Google, Huawei, LGE, Motorola, Nokia czy Samsung.
Wersje
| Wersja | Data | Notatki |
|---|---|---|
| 1,0 | 3 lipca 2024 r. | Opublikowano newsletter |