Bản tin về bảo mật Wear OS chứa thông tin chi tiết về tính bảo mật các lỗ hổng bảo mật này ảnh hưởng đến nền tảng Wear OS. Wear OS đầy đủ bản cập nhật này bao gồm cấp bản vá bảo mật từ ngày 5/8/2024 trở đi trong Bản tin tháng 8 năm 2024 về bảo mật Android tại ngoài tất cả các vấn đề trong bản tin này.
Chúng tôi khuyến khích tất cả khách hàng chấp nhận những nội dung cập nhật này cho thiết bị.
Vấn đề nghiêm trọng nhất trong số này là vấn đề bảo mật lỗ hổng bảo mật trong thành phần Hệ thống có thể dẫn đến lỗi chuyển đặc quyền lên cấp trên mà không có đặc quyền thực thi bổ sung cần thiết. Đánh giá mức độ nghiêm trọng dựa trên mức độ tác động việc khai thác lỗ hổng bảo mật này có thể có ở thiết bị bị ảnh hưởng, giả sử nền tảng và dịch vụ giảm thiểu bị tắt cho mục đích phát triển hoặc nếu thành công đã bị bỏ qua.
Thông báo
- Ngoài các lỗ hổng bảo mật được mô tả trong Bản tin tháng 8 năm 2024 về bảo mật Android, Wear tháng 8 năm 2024 Bản tin về bảo mật hệ điều hành cũng chứa các bản vá dành riêng cho Các lỗ hổng bảo mật của Wear OS như mô tả dưới đây.
01/08/2024 Chi tiết về lỗ hổng bảo mật ở cấp bản vá bảo mật
Trong các phần dưới đây, chúng tôi sẽ cung cấp thông tin chi tiết về từng trường hợp các lỗ hổng bảo mật áp dụng cho bản vá 01/08/2024 cấp độ. Các lỗ hổng bảo mật được nhóm theo thành phần mà chúng ảnh hưởng. Các vấn đề được mô tả trong các bảng bên dưới và bao gồm cả CVE ID, tham chiếu được liên kết, loại lỗ hổng bảo mật, mức độ nghiêm trọng và các phiên bản AOSP đã cập nhật (trong đó có áp dụng). Nếu có, chúng tôi sẽ liên kết thay đổi công khai đó đã giải quyết vấn đề cho mã lỗi, chẳng hạn như danh sách thay đổi của AOSP (Dự án nguồn mở Android). Khi nhiều thay đổi liên quan đến một lỗi, các tham chiếu được liên kết với các số theo sau mã lỗi. Thiết bị người dùng Android 10 trở lên có thể nhận được bản cập nhật bảo mật cũng như Bản cập nhật hệ thống Google Play.
Khung
Lỗ hổng bảo mật trong có thể dẫn đến việc leo thang đặc quyền cục bộ mà không cần có thêm đặc quyền thực thi.
| CVE | Tài liệu tham khảo | Loại | Mức độ nghiêm trọng | Các phiên bản AOSP đã cập nhật |
|---|---|---|---|---|
| CVE-2024-34745 | A-307251159 | EoP | Cao | 13 |
Hệ thống
Lỗ hổng bảo mật nghiêm trọng nhất trong có thể dẫn đến việc leo thang đặc quyền cục bộ mà không cần có thêm đặc quyền thực thi.
| CVE | Tài liệu tham khảo | Loại | Mức độ nghiêm trọng | Các phiên bản AOSP đã cập nhật |
|---|---|---|---|---|
| CVE-2024-34744 | A-326925455 | EoP | Cao | 13 |
| CVE-2024-34746 | A-304082471 | EoP | Cao | 13 |
Câu hỏi thường gặp và đáp gọn
Phần này trả lời các câu hỏi phổ biến có thể xảy ra sau đọc bản tin này.
1. Làm thế nào để xác định xem thiết bị của tôi có được cập nhật lên hay không giải quyết những vấn đề này không?
Để tìm hiểu cách kiểm tra mức bản vá bảo mật của thiết bị, hãy đọc hướng dẫn về cách cập nhật thiết bị của Google .
- Các cấp bản vá bảo mật từ ngày 1/8/2024 trở đi sẽ giải quyết được tất cả các vấn đề liên quan đến bản vá bảo mật 01/08/2024 cấp độ.
Nhà sản xuất thiết bị có các bản cập nhật này phải đặt vá cấp chuỗi thành:
- [ro.build.version.security_patch]:[01/08/2024]
Đối với một số thiết bị chạy Android 10 trở lên, Google Play bản cập nhật hệ thống sẽ có chuỗi ngày khớp với ngày 1/8/2024 cấp bản vá bảo mật. Vui lòng xem bài viết này để biết thêm chi tiết về cách cài đặt bản cập nhật bảo mật.
2. Mục nhập trong cột Type có chức năng gì có nghĩa là gì?
Các mục nhập trong cột Loại của lỗ hổng bảo mật bảng thông tin chi tiết về việc phân loại chứng khoán lỗ hổng bảo mật.
| Từ viết tắt | Định nghĩa |
|---|---|
| RCE | Thực thi mã từ xa |
| EoP | Nâng cao đặc quyền |
| ID | Tiết lộ thông tin |
| Yêu cầu | Từ chối dịch vụ |
| Không áp dụng | Không có thông tin phân loại |
3. Nội dung của các mục trong phần Tài liệu tham khảo giá trị trung bình của cột là gì?
Các mục nhập trong cột Tham chiếu của Bảng thông tin chi tiết về lỗ hổng bảo mật có thể chứa tiền tố xác định tổ chức có chứa giá trị tham chiếu.
| Tiền tố | Tài liệu tham khảo |
|---|---|
| A- | Mã lỗi Android |
| Quản lý chất lượng | Số tham chiếu của Qualcomm |
| T2 | Số tham chiếu MediaTek |
| K | Số tham chiếu của NVIDIA |
| B- | Số tham chiếu Broadcom |
| U- | Số tham chiếu UNISOC |
4. * có nghĩa là gì bên cạnh mã lỗi Android trong Cột Tệp đối chiếu có nghĩa là gì?
Các vấn đề không khả dụng công khai có dấu * bên cạnh mã tham chiếu tương ứng. Thông tin cập nhật cho vấn đề đó là thường có trong các trình điều khiển nhị phân mới nhất cho Pixel thiết bị có sẵn trên trang web dành cho nhà phát triển của Google.
5. Tại sao các lỗ hổng bảo mật lại được chia tách bản tin và bản tin bảo mật của đối tác / thiết bị, chẳng hạn như Bản tin trên Pixel?
Các lỗ hổng bảo mật được ghi nhận trong bảo mật này phải có bản tin để khai báo cấp bản vá bảo mật mới nhất trên các thiết bị Android. Các lỗ hổng bảo mật khác được ghi lại trong bản tin bảo mật của thiết bị / đối tác không được để khai báo cấp bản vá bảo mật. Thiết bị Android và các nhà sản xuất bộ vi mạch cũng có thể công bố lỗ hổng bảo mật thông tin cụ thể về sản phẩm của họ, chẳng hạn như Google, Huawei, LGE, Motorola, Nokia hoặc Samsung.
Phiên bản
| Phiên bản | Ngày | Ghi chú |
|---|---|---|
| 1.0 | Ngày 5 tháng 8 năm 2024 | Bản tin đã xuất bản. |