Biuletyn na temat bezpieczeństwa w Wear OS zawiera szczegółowe informacje o zabezpieczeniach które mają luki w zabezpieczeniach na platformie Wear OS. Pełna wersja Wear OS aktualizacja obejmuje poprawki zabezpieczeń z 5 września 2024 r. lub nowszego z Biuletynu na temat bezpieczeństwa Androida z września 2024 r. wszystkie problemy wymienione w tym biuletynie.
Zachęcamy wszystkich klientów do zaakceptowania tych zmian w urządzenia.
Najpoważniejszą z tych przyczyn jest wysokie bezpieczeństwo lukę w zabezpieczeniach w komponencie systemu, która może prowadzić do lokalnych eskalacja uprawnień bez dodatkowych uprawnień do wykonywania niezbędną. Ocena ważności opiera się na skutkach że wykorzystanie luki w zabezpieczeniach urządzenia, na którym wystąpił problem, przy założeniu, że stosowane są środki ograniczające ryzyko związane z platformą i usługą są wyłączone do celów programistycznych lub i ominęło.
Ogłoszenia
- Oprócz opisów podawanych we wrześniowym (2024 r.) komunikacie o lukach w zabezpieczeniach Androida we wrześniowym (2024 r.) komunikacie o lukach w zabezpieczeniach Wear OS znajdziesz też łaty na luki w zabezpieczeniach Wear OS, opisane poniżej.
Szczegóły luk w zabezpieczeniach na poziomie poprawki zabezpieczeń 01.09.2024
W sekcjach poniżej podajemy szczegółowe informacje o każdym luki w zabezpieczeniach wprowadzone przez poprawkę z 1 września 2024 r. na poziomie 300%. Luki w zabezpieczeniach są grupowane w ramach komponentu, i innych kwestii. Problemy zostały opisane w tabelach poniżej i obejmują CVE Identyfikator, powiązane pliki referencyjne, typ lukę w zabezpieczeniach i wagę oraz zaktualizowane wersje AOSP (gdzie ). Jeśli takie zmiany są dostępne, link do publicznej zmiany poprawił identyfikator błędu, np. listę zmian AOSP. Jeśli wiele zmian dotyczy jednego błędu, dodatkowe są powiązane z numerami po identyfikatorze błędu. Urządzenia z Androidem 10 lub nowszym mogą otrzymywać aktualizacje zabezpieczeń, a także aktualizacje systemowe Google Play.
Platforma
Najbardziej poważna luka w zabezpieczeniach w może doprowadzić do lokalnej eskalacji uprawnień bez potrzebne są dodatkowe uprawnienia do wykonywania.
| standard CVE | Pliki referencyjne | Typ | Poziom | Wersje AOSP |
|---|---|---|---|---|
| CVE-2024-40665 | A-339218569 | eksploatacja | Wysoki | 13 |
| CVE-2024-40664 | A-338974267 | DoS | Wysoki | 13 |
System
Najpoważniejsza luka w tym rozdziale może prowadzić do lokalnego podwyższenia uprawnień bez potrzeby uzyskania dodatkowych uprawnień do wykonywania.
| CVE | Pliki referencyjne | Typ | Poziom | Wersje AOSP |
|---|---|---|---|---|
| CVE-2024-40663 | A-322816693 | eksploatacja | Wysoki | 13 |
| CVE-2024-40666 | 339609745 | eksploatacja | Wysoki | 13 |
Częste pytania odpowiedzi
W tej sekcji znajdziesz odpowiedzi na najczęstsze pytania, które mogą wystąpić po za przeczytanie tego biuletynu.
1. Jak sprawdzić, czy moje urządzenie zostało zaktualizowane do i rozwiązać te problemy?
Aby dowiedzieć się, jak sprawdzić stan aktualizacji zabezpieczeń na urządzeniu, przeczytaj postępuj zgodnie z instrukcjami z aktualizacji urządzeń Google .
- Poziomy aktualizacji zabezpieczeń z 2024-09-01 lub nowsze rozwiązują wszystkie problemy związane z poziomem aktualizacji zabezpieczeń z 2024-09-01.
Producenci urządzeń, którzy uwzględniają te aktualizacje, powinni ustawić wartość popraw poziom ciągu znaków na:
- [ro.build.version.security_patch]:[1.09.2024]
W przypadku niektórych urządzeń z Androidem 10 lub nowszym aktualizacja systemu Google Play będzie miała ciąg znaków daty odpowiadający poziomowi poprawki zabezpieczeń z 2024-09-01. Więcej informacji o instalowaniu aktualizacji zabezpieczeń znajdziesz w tym artykule.
2. Co oznaczają wpisy w kolumnie Typ?
Wpisy w kolumnie Typ luki w zabezpieczeniach tabela ze szczegółami odnosi się do klasyfikacji zabezpieczenia czyli luki w zabezpieczeniach.
| Skrót | Definicja |
|---|---|
| RCE | Zdalne uruchamianie kodu |
| EoP | Podniesienie uprawnień |
| ID | Ujawnianie informacji |
| DoS | Atak typu DoS |
| Nie dotyczy | Klasyfikacja niedostępna |
3. Do czego służą wpisy w Odnośnikach średnia z kolumny?
Wpisy w kolumnie Pliki referencyjne Tabela z informacjami o lukach w zabezpieczeniach może zawierać prefiks identyfikujący organizacji, do której należy wartość referencyjna.
| Prefiks | Źródła wiedzy |
|---|---|
| A- | Identyfikator błędu Androida |
| QC- | Numer referencyjny Qualcomm |
| M | Numer referencyjny MediaTek |
| Pn | Numer referencyjny NVIDIA |
| B- | Numer referencyjny Broadcom |
| U | Numer referencyjny UNISOC |
4. Co oznacza symbol * obok identyfikatora błędu Androida w sekcji Średnia kolumny Odnośniki?
Obok odpowiedniego identyfikatora referencyjnego problemów, które nie są dostępne publicznie, znajduje się znak *. Aktualizacja rozwiązująca ten problem jest zazwyczaj zawarta w najnowszych binarnych sterownikach urządzeń Pixel, które można pobrać na stronie dla deweloperów Google.
5. Dlaczego luki w zabezpieczeniach są dzielone między te luki oraz biuletyny o zabezpieczeniach urządzeń / partnerów, takie jak Chcesz użyć newslettera Pixela?
Luki w zabezpieczeniach, które są udokumentowane w tym zabezpieczeniach Do zadeklarowania ostatniego poziomu poprawek zabezpieczeń wymagany jest biuletyn na urządzeniach z Androidem. Dodatkowe luki w zabezpieczeniach, które są udokumentowane w biuletynach dotyczących zabezpieczeń urządzenia / partnera i nie są wymagane do zadeklarowania poziomu aktualizacji zabezpieczeń. urządzenie z Androidem i Producenci chipsetów mogą również publikować luki w zabezpieczeniach. szczegóły dotyczące ich produktów, takie jak Google, Huawei, LGE, Motorola, Nokia czy Samsung.
Wersje
| Wersja | Data | Uwagi |
|---|---|---|
| 1,0 | 3 września 2024 r. | Opublikowano newsletter |