Bulletin de sécurité Wear OS – Août 2024

Publié le 5 août 2024

Le bulletin de sécurité Wear OS contient des informations sur la sécurité les failles affectant la plate-forme Wear OS. Wear OS complet mise à jour comprend le niveau du correctif de sécurité 2024-08-05 ou ultérieur du bulletin sur la sécurité Android d'août 2024 en plus de tous les problèmes cités dans ce bulletin.

Nous invitons tous nos clients à accepter ces modifications appareils.

<ph type="x-smartling-placeholder">

Le plus grave de ces problèmes est un niveau de sécurité élevé dans le composant système, ce qui pourrait entraîner élévation de privilèges sans droits d'exécution supplémentaires nécessaires. L'évaluation de la gravité est basée sur l'effet dont l'exploitation de la vulnérabilité appareil concerné, en supposant que les mesures d'atténuation des risques liés à la plate-forme et au service sont désactivés à des fins de développement ou s'ils réussissent contournées.

Annonces

  • Outre les failles de sécurité décrites dans le document Bulletin de sécurité Android d'août 2024, Wear OS d'août 2024 Le bulletin de sécurité du système d'exploitation contient également des correctifs destinés spécifiquement les failles de Wear OS décrites ci-dessous.

Détails de la faille au niveau du correctif de sécurité du 01/08/2024

Vous trouverez dans les sections ci-dessous des informations détaillées sur Failles de sécurité applicables au correctif du 01/08/2024 d'application. Les vulnérabilités sont regroupées sous le composant qu’elles impact. Les problèmes sont décrits dans les tableaux ci-dessous et incluent les failles CVE ID, références associées, type de la faille, la gravité et les versions mises à jour d'AOSP (où applicables). Le cas échéant, nous associons la modification publique résolu le problème à l'ID de bug, comme la liste de modifications AOSP. Lorsque plusieurs modifications sont liées à un même bug, sont liées aux numéros suivant l'ID de bug. Appareils équipés d'Android 10 ou version ultérieure peuvent recevoir des mises à jour de sécurité, ainsi que Mises à jour du système Google Play

Framework

La faille dans ce peut conduire à une élévation des privilèges au niveau local des droits d'exécution supplémentaires sont nécessaires.

CVE Références Type Gravité Versions d'AOSP mises à jour
CVE-2024-34745 A-307251159 EoP Élevée 13

Système

La faille la plus grave peut conduire à une élévation des privilèges au niveau local des droits d'exécution supplémentaires sont nécessaires.

CVE Références Type Gravité Versions d'AOSP mises à jour
CVE-2024-34744 A-326925455 EoP Élevée 13
CVE-2024-34746 A-304082471 EoP Élevée 13

Questions fréquentes et réponses

Cette section répond aux questions courantes qui peuvent se poser après en lisant ce bulletin.

1. Comment savoir si mon appareil a été mis à jour pour résoudre ces problèmes ?

Pour savoir comment vérifier le niveau du correctif de sécurité d'un appareil, consultez les instructions relatives à la mise à jour des appareils Google programmation.

  • Les niveaux du correctif de sécurité à compter du 01/08/2024 Problèmes associés au correctif de sécurité du 01/08/2024 d'application.

Les fabricants d'appareils qui proposent ces mises à jour doivent définir niveau de la chaîne patch sur:

  • [ro.build.version.security_patch]:[01/08/2024]

Pour certains appareils équipés d'Android 10 ou version ultérieure, mise à jour du système comporte une chaîne de date correspondant au 2024-08-01 du correctif de sécurité. Veuillez consulter cet article pour en savoir plus sur comment installer les mises à jour de sécurité.

2. Que contiennent les entrées de la colonne Type ? ?

Entrées de la colonne Type de la faille Le tableau des détails fait référence à la classification du titre la faille de sécurité.

Abréviation Définition
RCE Exécution de code à distance
EoP Élévation de privilèges
ID Divulgation d'informations
DoS Déni de service
N/A Classification non disponible

3. Que contiennent les entrées du panneau Références ? moyenne de cette colonne ?

Les entrées de la colonne Références de détails des failles peut contenir un préfixe identifiant organisation à laquelle appartient la valeur de référence.

Préfixe Référence
A- ID de bug Android
QC – Numéro de référence Qualcomm
L- Numéro de référence MediaTek
N- Numéro de référence NVIDIA
B- Numéro de référence Broadcom
U- Numéro de référence UNISOC

4. Que signifie le caractère * à côté de l'ID de bug Android dans le Moyenne de la colonne Références ?

Les numéros qui ne sont pas disponibles publiquement sont signalés par un astérisque (*) à côté de l'ID de référence correspondant. La mise à jour pour ce problème est généralement contenus dans les derniers pilotes binaires des Pixel. appareils disponibles sur le site Google Developers.

5. Pourquoi les failles de sécurité sont-elles réparties entre ces et les bulletins de sécurité de l'appareil ou des partenaires, tels que Bulletin Pixel ?

Les failles de sécurité documentées dans ce sont requises pour déclarer le dernier niveau du correctif de sécurité. sur les appareils Android. D'autres failles de sécurité documentées dans les bulletins de sécurité de l'appareil / des partenaires ne sont pas nécessaire pour déclarer un niveau de correctif de sécurité. Appareil Android et les fabricants de chipsets peuvent aussi publier des failles de sécurité des détails spécifiques à leurs produits, tels que Google, Huawei, LGE, Motorola, Nokia ou Samsung.

Versions

Version Date Notes
1.0 5 août 2024 Publication du bulletin.