עדכון האבטחה של Wear OS – ספטמבר 2024

פורסם ב-3 בספטמבר 2024

עדכון האבטחה של Wear OS מכיל פרטי אבטחה נקודות חולשה שמשפיעות על פלטפורמת Wear OS. גרסת Wear OS המלאה מורכב מרמת תיקון האבטחה משנת 2024.09.2024 ואילך ממבזק האבטחה של Android לחודש ספטמבר 2024 בנוסף לכל הבעיות בעדכון הזה.

אנחנו ממליצים לכל הלקוחות לאשר את העדכונים האלה במכשירים שלהם.

הבעיה החמורה ביותר של הבעיות האלה היא נקודות חולשה ברכיב המערכת שעשויה להוביל הסלמת הרשאות (privilege escalation) ללא הרשאות ביצוע נוספות הדרושים. הערכת החומרה מבוססת על ההשפעה שניצול נקודות החולשה עלול ליצור של המכשיר המושפע, בהנחה שהפלטפורמה והשירות המיטיגציות מושבתות למטרות פיתוח או אם הן מצליחות. בוצעה עקיפה.

הודעות

  • בנוסף לפרצות האבטחה שמתוארות ב עדכון האבטחה של Android לחודש ספטמבר 2024, עדכון האבטחה של Wear OS לשנת 2024 כולל גם תיקונים במיוחד לנקודות חולשה של Wear OS, כפי שמתואר שלמטה.

פרטי נקודות חולשה ברמה של תיקון האבטחה לשנת 2024

בקטעים הבאים מפורטים פרטים על כל נקודת החולשה באבטחה שחלה על רמת התיקון 2024-09-01. נקודות החולשה מקובצות לפי הרכיב שבו הן משפיעות. הבעיות מתוארות בטבלאות שבהמשך וכוללות CVE מזהה, הפניות משויכות, סוג של נקודות חולשה וחומרה וגרסאות AOSP מעודכנות (כאשר רלוונטי). כאשר השינוי זמין, אנחנו מקשרים את השינוי הציבורי טיפל בבעיה באמצעות מזהה הבאג, למשל רשימת השינויים ב-AOSP. כאשר שינויים מרובים קשורים לבאג יחיד, הוספת הפניות מקושרות למספרים שמופיעים אחרי מזהה הבאג. במכשירים עם Android מגרסה 10 ואילך יכול להיות שתקבלו עדכוני אבטחה וגם עדכוני מערכת של Google Play.

מסגרת

נקודת החולשה החמורה ביותר ב- הקטע הזה עלול להוביל להסלמת הרשאות מקומית (privilege escalation) נדרשות הרשאות ביצוע נוספות.

CVE קובצי עזר סוג מידת החומרה גרסאות AOSP
CVE-2024-40665 A-339218569 EoP רחב 13
CVE-2024-40664 A-338974267 מניעת שירות (DoS) רחב 13

מערכת

נקודת החולשה החמורה ביותר עלולה להוביל להסלמת הרשאות מקומית (privilege escalation) נדרשות הרשאות ביצוע נוספות.

CVE קובצי עזר סוג מידת החומרה גרסאות AOSP
CVE-2024-40663 A-322816693 ליש"ט רחב 13
CVE-2024-40666 A-339609745 ליש"ט רחב 13

שאלות נפוצות ותשובות

בקטע הזה מפורטות תשובות לשאלות נפוצות שעשויות להתרחש אחרי מקריאת המבזק הזה.

1. איך אפשר לדעת אם המכשיר מעודכן כדי לטפל בבעיות האלה?

כדי ללמוד איך לבדוק את רמת תיקון האבטחה במכשיר, אפשר לקרוא ההוראות שבעדכון מכשיר Google לוח זמנים.

  • רמות תיקון האבטחה מגרסה 01.09.2024 ואילך: כולן בעיות שקשורות לתיקון האבטחה משנת 2024 ברמה.

יצרני מכשירים שכוללים את העדכונים האלה צריכים להגדיר את תיקון רמת מחרוזת ל:

  • [ro.build.version.security_patch]:‏[2024-09-01]

במכשירים מסוימים עם Android 10 ואילך, אפליקציית Google Play תהיה מחרוזת תאריך שתואמת לעדכון המערכת של 2024. רמת תיקון האבטחה. פרטים נוספים זמינים במאמר הזה על איך להתקין עדכוני אבטחה.

2. מה המשמעות של הרשומות בעמודה Type?

ערכים בעמודה סוג של פרצת האבטחה טבלת הפרטים מתייחס לסיווג של נקודות החולשה.

קיצור הגדרה
RCE ביצוע קוד מרחוק
ליש"ט העלאת רמת הרשאה
מזהה חשיפת מידע
מניעת שירות (DoS) התקפת מניעת שירות (DoS)
לא רלוונטי הסיווג לא זמין

3. מה המשמעות של הרשומות בעמודה References?

רשומות בעמודה References (קובצי עזר) של טבלת פרטי נקודות החולשה עשויה להכיל קידומת שמתארת את הארגון שאליו שייך ערך ההפניה.

תחילית חומרי עזר
A-‎ מזהה באג ב-Android
QC- מספר אסמכתה של Qualcomm
M-‎ מספר סימוכין של MediaTek
N- מספר סימוכין של NVIDIA
B-‎ מספר סימוכין של Broadcom
U- מספר סימוכין של UNISOC

4. מה עושה * לצד מזהה הבאג ב-Android מה המשמעות של העמודה References (הפניות)?

ליד בעיות שלא זמינות לכולם יש סימן * מזהה ההפניה התואם. העדכון של הבעיה הזו הוא נמצאים בדרך כלל במנהלי ההתקנים הבינאריים העדכניים ביותר של Pixel מכשירים הזמינים באתר Google Developers.

5. למה נקודות החולשה באבטחה מתחלקות עלונים ועדכוני אבטחה של מכשיר / שותפים, כגון עדכון Pixel?

נקודות החולשה באבטחה המתועדות בעדכון האבטחה הזה מחויבות להצהיר על רמת תיקון האבטחה העדכנית ביותר במכשירי Android. לא נדרשות נקודות חולשה נוספות באבטחה שמתועדות בעדכוני האבטחה של המכשיר או השותף כדי להכריז על רמת תיקון אבטחה. מכשיר Android ו יצרני ערכות שבבים עלולים גם לפרסם נקודות חולשה באבטחה פרטים ספציפיים למוצרים שלה, כמו Google, Huawei, LGE, Motorola, Nokia או Samsung.

גרסאות

גרסה תאריך הערות
1.0 3 בספטמבר 2024 המבזק פורסם