กระดานข่าวสารด้านความปลอดภัยของ Wear OS - สิงหาคม 2024

เผยแพร่เมื่อวันที่ 5 สิงหาคม 2024

กระดานข่าวสารด้านความปลอดภัยของ Wear OS มีรายละเอียดด้านความปลอดภัย ช่องโหว่ที่ส่งผลกระทบต่อแพลตฟอร์ม Wear OS Wear OS เต็มรูปแบบ อัปเดตประกอบด้วยระดับแพตช์ความปลอดภัย 05-08-2024 หรือใหม่กว่า จากกระดานข่าวสารด้านความปลอดภัยของ Android สิงหาคม 2024 ใน นอกเหนือจากปัญหาทั้งหมดในกระดานข่าวสารนี้

เราขอแนะนำให้ลูกค้าทั้งหมดยอมรับการอัปเดต อุปกรณ์

ปัญหาที่รุนแรงที่สุดคือการรักษาความปลอดภัยระดับสูง ในคอมโพเนนต์ของระบบที่อาจส่งผล การส่งต่อสิทธิ์โดยไม่มีสิทธิ์ดำเนินการเพิ่มเติม ที่จำเป็น การประเมินความรุนแรงจะอิงตามผลกระทบ ที่อาจได้รับผลพวงจากช่องโหว่นี้ อุปกรณ์ที่ได้รับผลกระทบ ในกรณีที่ใช้แพลตฟอร์มและการลดความเสี่ยง จะปิดอยู่เพื่อวัตถุประสงค์ในการพัฒนาหรือหากดำเนินการสำเร็จ ข้าม

ประกาศ

  • นอกเหนือจากช่องโหว่ด้านความปลอดภัยที่อธิบายไว้ใน กระดานข่าวสารด้านความปลอดภัยของ Android เดือนสิงหาคม 2024, Wear สิงหาคม 2024 OS Security Bulletin ยังมีแพตช์สำหรับ ช่องโหว่ของ Wear OS ตามที่อธิบายไว้ด้านล่าง

รายละเอียดช่องโหว่ระดับแพตช์ความปลอดภัย 2024-08-01

ในส่วนด้านล่าง เราจะอธิบายรายละเอียดสำหรับแต่ละ ช่องโหว่ด้านความปลอดภัยที่ใช้กับแพตช์ 01-08-2024 ระบบจะจัดกลุ่มช่องโหว่ไว้ภายใต้คอมโพเนนต์ของช่องโหว่เหล่านั้น ผลกระทบ เราได้อธิบายปัญหาไว้ในตารางด้านล่าง และรวม CVE รหัส ข้อมูลอ้างอิงที่เกี่ยวข้อง ประเภทของ ช่องโหว่ ความรุนแรง และเวอร์ชัน AOSP ที่อัปเดต (ที่ ที่เกี่ยวข้อง) เมื่อสามารถทำได้ เราจะลิงก์การเปลี่ยนแปลงสาธารณะที่ แก้ไขปัญหาไปยังรหัสข้อบกพร่อง เช่น รายการเปลี่ยนแปลง AOSP เมื่อการเปลี่ยนแปลงหลายรายการเกี่ยวข้องกับข้อบกพร่องเดียว จะลิงก์กับหมายเลขที่ตามหลังรหัสข้อบกพร่อง อุปกรณ์ ที่ใช้ Android 10 ขึ้นไปอาจได้รับการอัปเดตความปลอดภัย รวมถึง การอัปเดตระบบ Google Play

เฟรมเวิร์ก

ช่องโหว่ในเรื่องนี้ อาจนำไปสู่การยกระดับสิทธิ์ในท้องถิ่นโดยไม่มี ต้องมีสิทธิ์ในการดำเนินการเพิ่มเติม

CVE ข้อมูลอ้างอิง ประเภท ความรุนแรง เวอร์ชัน AOSP ที่อัปเดต
CVE-2024-34745 A-307251159 EP สูง 13

ระบบ

ช่องโหว่ที่ร้ายแรงที่สุดใน อาจนำไปสู่การยกระดับสิทธิ์ในท้องถิ่นโดยไม่มี ต้องมีสิทธิ์ในการดำเนินการเพิ่มเติม

CVE ข้อมูลอ้างอิง ประเภท ความรุนแรง เวอร์ชัน AOSP ที่อัปเดต
CVE-2024-34744 A-326925455 EP สูง 13
CVE-2024-34746 A-304082471 EP สูง 13

คำถามที่พบบ่อยและ คำตอบ

ข้อมูลในส่วนนี้จะตอบคำถามที่พบบ่อยซึ่งอาจเกิดขึ้นหลังจาก อ่านกระดานข่าวสารนี้

1. ฉันจะรู้ได้อย่างไรว่าอุปกรณ์ได้รับการอัปเดตเป็น แก้ปัญหาเหล่านี้ได้ไหม

หากต้องการดูวิธีตรวจสอบระดับแพตช์ความปลอดภัยของอุปกรณ์ โปรดอ่าน วิธีการในการอัปเดตอุปกรณ์ Google กำหนดการ

  • ระดับแพตช์ความปลอดภัย 01-08-2024 หรือหลังจากนั้นจะแก้ไขทั้งหมด ปัญหาที่เกี่ยวข้องกับแพตช์ความปลอดภัย 2024-08-01

ผู้ผลิตอุปกรณ์ที่มีการอัปเดตเหล่านี้ควรตั้งค่า ระดับสตริงการแก้ไขเป็น:

  • [ro.build.version.security_patch]:[01-08-2024]

สำหรับอุปกรณ์บางรุ่นที่ใช้ Android 10 ขึ้นไป สามารถใช้ Google Play การอัปเดตระบบจะมีสตริงวันที่ที่ตรงกับ 01-08-2024 ระดับแพตช์ความปลอดภัย โปรดอ่านรายละเอียดเพิ่มเติมเกี่ยวกับบทความนี้ วิธีติดตั้งการอัปเดตความปลอดภัย

2. ข้อมูลในคอลัมน์ประเภท หมายความว่า

รายการในคอลัมน์ประเภทของช่องโหว่ ตารางรายละเอียดจะอ้างอิงการจำแนกประเภทหลักทรัพย์ ช่องโหว่

ตัวย่อ คำจำกัดความ
ใหม่ การดำเนินการกับโค้ดจากระยะไกล
EP การยกระดับสิทธิ์
รหัส การเปิดเผยข้อมูล
สิ่งที่ควรทำ ปฏิเสธการให้บริการ
ไม่มี ไม่มีการแยกประเภท

3. ข้อมูลในข้อมูลอ้างอิง จะหมายถึงอะไร

รายการในคอลัมน์ข้อมูลอ้างอิงของ ตารางรายละเอียดช่องโหว่อาจมีคำนำหน้าที่ระบุ องค์กรที่มีค่าอ้างอิงอยู่

คำนำหน้า ข้อมูลอ้างอิง
A- รหัสข้อบกพร่องของ Android
QC- หมายเลขอ้างอิง Qualcomm
จ- หมายเลขอ้างอิง MediaTek
น. หมายเลขอ้างอิง NVIDIA
B- หมายเลขอ้างอิง Broadcom
U- หมายเลขอ้างอิง UNISOC

4. เครื่องหมาย * ถัดจากรหัสข้อบกพร่องของ Android ใน ความหมายของคอลัมน์ข้อมูลอ้างอิง

ปัญหาที่ไม่ได้เผยแพร่ต่อสาธารณะจะมีเครื่องหมาย * อยู่ถัดจาก รหัสอ้างอิงที่เกี่ยวข้อง ข้อมูลอัปเดตสำหรับปัญหาดังกล่าวคือ มักอยู่ในไดรเวอร์ไบนารีล่าสุดสำหรับ Pixel อุปกรณ์ที่พร้อมให้บริการจากเว็บไซต์นักพัฒนาซอฟต์แวร์ของ Google

5. เหตุใดช่องโหว่ด้านความปลอดภัยจึงแยกจากกัน กระดานข่าวสารด้านความปลอดภัยของอุปกรณ์ / พาร์ทเนอร์ เช่น กระดานข่าวสาร Pixel

ช่องโหว่ด้านความปลอดภัยที่ระบุในความปลอดภัยนี้ ต้องมีกระดานข่าวสารเพื่อประกาศระดับแพตช์ความปลอดภัยล่าสุด บนอุปกรณ์ Android ช่องโหว่ด้านความปลอดภัยอื่นๆ ที่ระบุในกระดานข่าวสารด้านความปลอดภัยของอุปกรณ์ / พาร์ทเนอร์ จำเป็นสำหรับการประกาศระดับแพตช์ความปลอดภัย อุปกรณ์ Android และ ผู้ผลิตชิปเซ็ตอาจเผยแพร่ช่องโหว่ด้านความปลอดภัยด้วย รายละเอียดเฉพาะของผลิตภัณฑ์ เช่น Google, Huawei, LGE, Motorola, Nokia หรือ Samsung

เวอร์ชัน

เวอร์ชัน วันที่ หมายเหตุ
1.0 5 สิงหาคม 2024 เผยแพร่กระดานข่าวสารแล้ว