עדכון האבטחה של Wear OS מכיל פרטי אבטחה נקודות חולשה שמשפיעות על פלטפורמת Wear OS. גרסת Wear OS המלאה כולל רמת תיקון אבטחה מ-5 באוגוסט 2024 ואילך מעדכון האבטחה של Android לחודש אוגוסט 2024 בנוסף לכל הבעיות בעדכון הזה.
אנחנו ממליצים לכל הלקוחות לאשר את העדכונים האלה מכשירים.
הבעיה החמורה ביותר של הבעיות האלה היא נקודות חולשה ברכיב המערכת שעשויה להוביל הסלמת הרשאות (privilege escalation) ללא הרשאות ביצוע נוספות הדרושים. הערכת החומרה מבוססת על ההשפעה שניצול נקודות החולשה עלול ליצור של המכשיר המושפע, בהנחה שהפלטפורמה והשירות המיטיגציות מושבתות למטרות פיתוח או אם הן מצליחות. נעקפה.
הודעות
- בנוסף לפרצות האבטחה שמתוארות ב מבזק האבטחה של Android לחודש אוגוסט 2024, Wear של אוגוסט 2024 'עדכון אבטחה של OS' מכיל גם תיקונים שמיועדים במיוחד נקודות חולשה ב-Wear OS, כפי שמתואר בהמשך.
פרטי נקודת חולשה ברמה של תיקון האבטחה בתאריך 08.08.2024
בסעיפים הבאים אנחנו מספקים פרטים על כל אחד נקודות חולשה באבטחה שחלות על התיקון בתאריך 1 באוגוסט 2024 ברמה. נקודות החולשה מקובצות בהתאם לרכיב שהן להשפיע. הבעיות מתוארות בטבלאות שבהמשך וכוללות CVE מזהה, הפניות משויכות, סוג של נקודות חולשה וחומרה וגרסאות AOSP מעודכנות (כאשר הרלוונטי). כאשר השינוי זמין, אנחנו מקשרים את השינוי הציבורי טיפל בבעיה באמצעות מזהה הבאג, למשל רשימת השינויים ב-AOSP. כאשר שינויים מרובים קשורים לבאג אחד, נוספות הפניות מקושרות למספרים שמופיעים אחרי מזהה הבאג. מכשירים עם Android מגרסה 10 ואילך עשויים לקבל עדכוני אבטחה, וגם עדכוני מערכת של Google Play.
מסגרת
נקודות החולשה עלולה להוביל להסלמת הרשאות מקומית (privilege escalation) נדרשות הרשאות ביצוע נוספות.
| CVE | קובצי עזר | סוג | מידת החומרה | גרסאות AOSP מעודכנות |
|---|---|---|---|---|
| CVE-2024-34745 | A-307251159 | ליש"ט | רחב | 13 |
מערכת
נקודת החולשה החמורה ביותר עלולה להוביל להסלמת הרשאות מקומית (privilege escalation) נדרשות הרשאות ביצוע נוספות.
| CVE | קובצי עזר | סוג | מידת החומרה | גרסאות AOSP מעודכנות |
|---|---|---|---|---|
| CVE-2024-34744 | A-326925455 | ליש"ט | רחב | 13 |
| CVE-2024-34746 | A-304082471 | ליש"ט | רחב | 13 |
שאלות נפוצות תשובות
בקטע הזה מפורטות תשובות לשאלות נפוצות שעשויות להתרחש אחרי מקריאת המבזק הזה.
1. איך אדע אם המכשיר שלי מעודכן ל- ולטפל בבעיות האלה?
כדי ללמוד איך לבדוק את רמת תיקון האבטחה במכשיר, אפשר לקרוא ההוראות שבעדכון מכשיר Google לוח זמנים.
- רמות תיקון האבטחה מגרסה 1.8.2024 ואילך: כולן בעיות שקשורות לתיקון האבטחה משנת 2024 ברמה.
יצרני מכשירים שכוללים את העדכונים האלה צריכים להגדיר את תיקון רמת מחרוזת ל:
- [ro.build.version.security_patch]:[2024.08.01]
במכשירים מסוימים עם Android 10 ואילך, אפליקציית Google Play תהיה מחרוזת תאריך שתואמת לעדכון המערכת של 2024 באוגוסט 2024. רמת תיקון האבטחה. פרטים נוספים זמינים במאמר הזה על איך להתקין עדכוני אבטחה.
2. מה כוללות הערכים בעמודה סוג כלומר?
ערכים בעמודה סוג של פרצת האבטחה טבלת הפרטים מתייחס לסיווג של נקודות החולשה.
| קיצור | הגדרה |
|---|---|
| RCE | ביצוע קוד מרחוק |
| ליש"ט | הרשאות ברמה גבוהה יותר |
| מזהה | חשיפת מידע |
| מניעת שירות (DoS) | התקפת מניעת שירות (DoS) |
| לא רלוונטי | הסיווג לא זמין |
3. מה עושה הערכים בקובצי עזר ממוצע עמודה?
רשומות בעמודה References (קובצי עזר) של טבלת פרטי נקודות החולשה עשויה להכיל קידומת שמתארת את הארגון שאליו שייך ערך ההפניה.
| תחילית | חומרי עזר |
|---|---|
| A- | מזהה באג ב-Android |
| QC- | מספר אסמכתה של Qualcomm |
| M- | מספר סימוכין של MediaTek |
| N- | מספר סימוכין של NVIDIA |
| B- | מספר סימוכין של Broadcom |
| U- | מספר סימוכין של UNISOC |
4. מה עושה * לצד מזהה הבאג ב-Android מה המשמעות של העמודה References (הפניות)?
ליד בעיות שלא זמינות לכולם יש סימן * מזהה ההפניה התואם. העדכון של הבעיה הזו הוא נמצאים בדרך כלל במנהלי ההתקנים הבינאריים העדכניים ביותר של Pixel מכשירים הזמינים באתר Google Developers.
5. למה נקודות החולשה באבטחה מתחלקות עלונים ועדכוני אבטחה של מכשיר / שותפים, כגון עדכון Pixel?
פרצות אבטחה שמתועדות באבטחה הזו נדרש להצהיר על הרמה האחרונה של תיקון האבטחה במכשירי Android. פרצות אבטחה נוספות המתועדים במכשיר או בעדכון האבטחה של השותף נדרשת להצהרה על רמת תיקון אבטחה. מכשיר Android ו יצרני ערכות שבבים עלולים גם לפרסם נקודות חולשה באבטחה פרטים ספציפיים למוצרים שלה, כמו Google, Huawei, LGE, Motorola, Nokia או Samsung.
גרסאות
| גרסה | תאריך | הערות |
|---|---|---|
| 1.0 | 5 באוגוסט 2024 | המבזק פורסם. |