Bản tin về bảo mật Wear OS cung cấp thông tin chi tiết về tính bảo mật các lỗ hổng bảo mật này ảnh hưởng đến nền tảng Wear OS. Bản cập nhật đầy đủ của Wear OS bao gồm cấp bản vá bảo mật 05/09/2024 trở lên trong Bản tin bảo mật Android tháng 9 năm 2024, cùng với tất cả các vấn đề trong bản tin này.
Chúng tôi khuyến khích tất cả khách hàng chấp nhận những nội dung cập nhật này cho thiết bị.
Nghiêm trọng nhất trong số các vấn đề này là một lỗ hổng bảo mật cấp cao trong thành phần Hệ thống có thể dẫn đến việc tăng đặc quyền cục bộ mà không cần đặc quyền thực thi bổ sung. Đánh giá mức độ nghiêm trọng dựa trên mức độ tác động việc khai thác lỗ hổng bảo mật này có thể có ở thiết bị bị ảnh hưởng, giả sử nền tảng và dịch vụ giảm thiểu bị tắt cho mục đích phát triển hoặc nếu thành công đã bị bỏ qua.
Thông báo
- Ngoài các lỗ hổng bảo mật được mô tả trong Bản tin bảo mật Android tháng 9 năm 2024, tháng 9 Bản tin bảo mật Wear OS 2024 cũng chứa các bản vá dành riêng cho các lỗ hổng bảo mật Wear OS như được mô tả bên dưới.
01/09/2024 Chi tiết về lỗ hổng bảo mật ở cấp bản vá bảo mật
Trong các phần dưới đây, chúng tôi sẽ cung cấp thông tin chi tiết về từng trường hợp các lỗ hổng bảo mật áp dụng cho bản vá 01/09/2024 cấp độ. Các lỗ hổng bảo mật được nhóm theo thành phần mà chúng ảnh hưởng. Các vấn đề được mô tả trong các bảng dưới đây và bao gồm cả CVE ID, tham chiếu được liên kết, loại lỗ hổng bảo mật, mức độ nghiêm trọng và các phiên bản AOSP đã cập nhật (trong đó có áp dụng). Nếu có, chúng tôi sẽ liên kết thay đổi công khai đó đã giải quyết vấn đề cho mã lỗi, chẳng hạn như danh sách thay đổi của AOSP (Dự án nguồn mở Android). Khi nhiều thay đổi liên quan đến một lỗi, các tham chiếu được liên kết với các số theo sau mã lỗi. Thiết bị người dùng Android 10 trở lên có thể nhận được bản cập nhật bảo mật cũng như Bản cập nhật hệ thống Google Play.
Khung
Lỗ hổng bảo mật nghiêm trọng nhất trong điều này có thể dẫn đến việc leo thang đặc quyền cục bộ mà không cần có thêm đặc quyền thực thi.
| CVE | Tài liệu tham khảo | Loại | Mức độ nghiêm trọng | Phiên bản AOSP (Dự án nguồn mở Android) |
|---|---|---|---|---|
| CVE-2024-40665 | A-339218569 | EoP | Cao | 13 |
| CVE-2024-40664 | A-338974267 | Yêu cầu | Cao | 13 |
Hệ thống
Lỗ hổng bảo mật nghiêm trọng nhất trong có thể dẫn đến việc leo thang đặc quyền cục bộ mà không cần có thêm đặc quyền thực thi.
| CVE | Tài liệu tham khảo | Loại | Mức độ nghiêm trọng | Phiên bản AOSP |
|---|---|---|---|---|
| CVE-2024-40663 | A-322816693 | EoP | Cao | 13 |
| CVE-2024-40666 | A-339609745 | EoP | Cao | 13 |
Câu hỏi thường gặp và đáp gọn
Phần này trả lời các câu hỏi phổ biến có thể xảy ra sau đọc bản tin này.
1. Làm thế nào để xác định xem thiết bị của tôi có được cập nhật lên hay không giải quyết những vấn đề này không?
Để tìm hiểu cách kiểm tra mức bản vá bảo mật của thiết bị, hãy đọc hướng dẫn về cách cập nhật thiết bị của Google .
- Cấp bản vá bảo mật từ ngày 1 tháng 9 năm 2024 trở lên sẽ giải quyết tất cả các vấn đề liên quan đến cấp bản vá bảo mật ngày 1 tháng 9 năm 2024.
Nhà sản xuất thiết bị có các bản cập nhật này phải đặt vá cấp chuỗi thành:
- [ro.build.version.security_patch]:[01/09/2024]
Đối với một số thiết bị chạy Android 10 trở lên, Google Play bản cập nhật hệ thống sẽ có chuỗi ngày khớp với ngày 1/9/2024 cấp bản vá bảo mật. Vui lòng xem bài viết này để biết thêm thông tin chi tiết về cách cài đặt bản cập nhật bảo mật.
2. Mục nhập trong cột Type có chức năng gì có nghĩa là gì?
Các mục nhập trong cột Loại của lỗ hổng bảo mật bảng thông tin chi tiết tham khảo cách phân loại chứng khoán lỗ hổng bảo mật.
| Từ viết tắt | Định nghĩa |
|---|---|
| RCE | Thực thi mã từ xa |
| EoP | Nâng cao đặc quyền |
| ID | Tiết lộ thông tin |
| Yêu cầu | Từ chối dịch vụ |
| Không áp dụng | Không có thông tin phân loại |
3. Nội dung của các mục trong phần Tài liệu tham khảo giá trị trung bình của cột là gì?
Các mục nhập trong cột Tham chiếu của Bảng thông tin chi tiết về lỗ hổng bảo mật có thể chứa tiền tố xác định tổ chức có chứa giá trị tham chiếu.
| Tiền tố | Tài liệu tham khảo |
|---|---|
| A- | Mã lỗi Android |
| Quản lý chất lượng | Số tham chiếu của Qualcomm |
| T2 | Số tham chiếu MediaTek |
| K | Số tham chiếu của NVIDIA |
| B- | Số tham chiếu Broadcom |
| U- | Số tham chiếu UNISOC |
4. * có nghĩa là gì bên cạnh mã lỗi Android trong Cột Tệp đối chiếu có nghĩa là gì?
Các vấn đề không được công khai sẽ có dấu * bên cạnh mã tham chiếu tương ứng. Thông tin cập nhật cho vấn đề đó là thường có trong các trình điều khiển nhị phân mới nhất cho Pixel thiết bị có sẵn trên trang web dành cho nhà phát triển của Google.
5. Lý do các lỗ hổng bảo mật được phân chia giữa bản tin và bản tin bảo mật của đối tác / thiết bị, chẳng hạn như Bản tin trên Pixel?
Các lỗ hổng bảo mật được ghi nhận trong bảo mật này phải có bản tin để khai báo cấp bản vá bảo mật mới nhất trên các thiết bị Android. Các lỗ hổng bảo mật khác được ghi lại trong bản tin bảo mật của thiết bị / đối tác không để khai báo cấp bản vá bảo mật. Thiết bị Android và các nhà sản xuất bộ vi mạch cũng có thể công bố lỗ hổng bảo mật thông tin cụ thể về sản phẩm của họ, chẳng hạn như Google, Huawei, LGE, Motorola, Nokia hoặc Samsung.
Phiên bản
| Phiên bản | Ngày | Ghi chú |
|---|---|---|
| 1.0 | Ngày 3 tháng 9 năm 2024 | Bản tin đã xuất bản |