Bulletin de sécurité Wear OS – septembre 2024

Publié le 3 septembre 2024

Le bulletin de sécurité Wear OS contient des informations sur la sécurité les failles affectant la plate-forme Wear OS. Wear OS complet mise à jour comprend le niveau du correctif de sécurité 2024-09-05 ou ultérieur du bulletin sur la sécurité Android de septembre 2024 en plus de tous les problèmes cités dans ce bulletin.

Nous invitons tous nos clients à accepter ces modifications appareils.

Le plus grave de ces problèmes est un niveau de sécurité élevé dans le composant système, ce qui pourrait entraîner élévation de privilèges sans droits d'exécution supplémentaires nécessaires. L'évaluation de la gravité est basée sur l'effet dont l'exploitation de la vulnérabilité l'appareil concerné, en supposant que les mesures d'atténuation des risques liés à la plate-forme et au service sont désactivés à des fins de développement ou s'ils réussissent contournées.

Annonces

  • Outre les failles de sécurité décrites dans le document Bulletin de sécurité Android de septembre 2024, Le bulletin de sécurité Wear OS 2024 contient également des correctifs en particulier pour les failles de Wear OS, ci-dessous.

Détails de la faille au niveau du correctif de sécurité du 01/09/2024

Vous trouverez dans les sections ci-dessous des informations détaillées sur Failles de sécurité applicables au correctif du 01/09/2024 d'application. Les vulnérabilités sont regroupées sous le composant qu’elles impact. Les problèmes sont décrits dans les tableaux ci-dessous. Ils incluent l'ID de la faille CVE, les références associées, le type de faille, la gravité et les versions AOSP mises à jour (le cas échéant). Le cas échéant, nous associons la modification publique résolu le problème à l'ID de bug, comme la liste de modifications AOSP. Lorsque plusieurs modifications sont liées à un même bug, sont liées aux numéros suivant l'ID de bug. Les appareils équipés d'Android 10 ou version ultérieure peuvent recevoir des mises à jour de sécurité ainsi que des mises à jour du système Google Play.

Framework

La vulnérabilité la plus grave dans cette section peut entraîner une élévation des privilèges au niveau local des droits d'exécution supplémentaires sont nécessaires.

CVE Références Type Gravité Versions AOSP
CVE-2024-40665 A-339218569 EoP Élevée 13
CVE-2024-40664 A-338974267 DoS Élevée 13

Système

La faille la plus grave peut conduire à une élévation des privilèges au niveau local des droits d'exécution supplémentaires sont nécessaires.

CVE Références Type Gravité Versions d'AOSP
CVE-2024-40663 A-322816693 EoP Élevée 13
CVE-2024-40666 A-339609745 EoP Élevée 13

Questions fréquentes et réponses

Cette section répond aux questions courantes qui peuvent se poser après en lisant ce bulletin.

1. Comment savoir si mon appareil a été mis à jour pour résoudre ces problèmes ?

Pour savoir comment vérifier le niveau du correctif de sécurité d'un appareil, consultez les instructions relatives à la mise à jour des appareils Google programmation.

  • Les niveaux de correctif de sécurité du 1er septembre 2024 ou version ultérieure corrigent tous les problèmes associés au niveau de correctif de sécurité du 1er septembre 2024.

Les fabricants d'appareils qui intègrent ces mises à jour doivent définir niveau de la chaîne patch sur:

  • [ro.build.version.security_patch]:[01/09/2024]

Pour certains appareils équipés d'Android 10 ou version ultérieure, mise à jour du système comporte une chaîne de date correspondant à la chaîne 2024-09-01 du correctif de sécurité. Consultez cet article pour en savoir plus sur comment installer les mises à jour de sécurité.

2. Que contiennent les entrées de la colonne Type ? ?

Les entrées de la colonne Type du tableau sur les détails des failles font référence à la classification de la faille de sécurité.

Abréviation Définition
RCE Exécution de code à distance
EoP Élévation des droits
ID Divulgation d'informations
DoS Déni de service
N/A Classification non disponible

3. Que contiennent les entrées du panneau Références ? moyenne de cette colonne ?

Les entrées de la colonne Références de détails des failles peut contenir un préfixe identifiant organisation à laquelle appartient la valeur de référence.

Préfixe Référence
A- ID de bug Android
QC- Numéro de référence Qualcomm
M- Numéro de référence MediaTek
N- Numéro de référence NVIDIA
B- Numéro de référence Broadcom
U- Numéro de référence UNISOC

4. Que signifie le caractère * à côté de l'ID de bug Android dans le Moyenne de la colonne Références ?

Les numéros qui ne sont pas disponibles publiquement sont signalés par un astérisque (*) à côté de l'ID de référence correspondant. La mise à jour pour ce problème est généralement contenus dans les derniers pilotes binaires des Pixel. appareils disponibles sur le site Google Developers.

5. Pourquoi les failles de sécurité sont-elles réparties entre ces et les bulletins de sécurité de l'appareil ou des partenaires, tels que Bulletin Pixel ?

Les failles de sécurité documentées dans ce sont requises pour déclarer le dernier niveau du correctif de sécurité. sur les appareils Android. D'autres failles de sécurité documentées dans les bulletins de sécurité de l'appareil / des partenaires ne sont pas nécessaire pour déclarer un niveau de correctif de sécurité. Appareil Android et les fabricants de chipsets peuvent aussi publier des failles de sécurité des détails spécifiques à leurs produits, tels que Google, Huawei, LGE, Motorola, Nokia ou Samsung.

Versions

Version Date Notes
1.0 3 septembre 2024 Publication du bulletin