A partir de 27 de março de 2025, recomendamos usar android-latest-release em vez de aosp-main para criar e contribuir com o AOSP. Para mais informações, consulte Mudanças no AOSP.

Esta página foi traduzida pela API Cloud Translation.

Boletim de segurança do Wear OS: setembro de 2024
Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.

Publicado em 3 de setembro de 2024

O boletim de segurança do Wear OS contém detalhes de segurança vulnerabilidades que afetam a plataforma Wear OS. O Wear OS completo A atualização inclui o nível do patch de segurança de 05/09/2024 ou posterior do Boletim de segurança do Android de setembro de 2024 em além de todas as questões deste boletim.

Recomendamos que todos os clientes aceitem essas atualizações nos dispositivos.

O mais grave deles é um problema de segurança vulnerabilidade no componente do sistema que pode levar a escalonamento de privilégios sem privilégios de execução adicionais necessários. A avaliação de gravidade é baseada no efeito que a exploração da vulnerabilidade teria em um dispositivo afetado, supondo que as mitigações de plataforma e serviço estejam desativadas para fins de desenvolvimento ou se forem contornadas.

Anúncios

Além das vulnerabilidades de segurança descritas em o Boletim de segurança do Android de setembro de 2024, O boletim de segurança do Wear OS 2024 também contém patches especificamente para vulnerabilidades do Wear OS, conforme descrito a seguir.

Detalhes da vulnerabilidade do nível do patch de segurança de 01/09/2024

Nas seções abaixo, fornecemos detalhes sobre cada uma das vulnerabilidades de segurança que se aplicam ao nível de patch 2024-09-01. As vulnerabilidades são agrupadas no componente afetar. Os problemas são descritos nas tabelas abaixo e incluem o CVE ID, referências associadas, tipo de vulnerabilidade, gravidade e versões atualizadas do AOSP (em que aplicável). Quando disponível, vinculamos a mudança pública que abordou o problema com o ID do bug, como a lista de mudanças do AOSP. Quando várias mudanças se relacionam a um único bug, outras referências são vinculadas a números que seguem o ID do bug. Dispositivos com o Android 10 e versões mais recentes, podem receber atualizações de segurança Atualizações do sistema do Google Play.

Framework

A vulnerabilidade mais grave da nessa seção pode levar a um escalonamento local de privilégios sem são necessários privilégios de execução adicionais.

CVE	Referências	Tipo	Gravidade	Versões do AOSP
CVE-2024-40665	A-339218569	Fim do dia	Alta	13
CVE-2024-40664	A-338974267	DoS	Alta	13

Sistema

A vulnerabilidade mais grave pode levar ao escalonamento local de privilégios sem são necessários privilégios de execução adicionais.

CVE	Referências	Tipo	Gravidade	Versões do AOSP
CVE-2024-40663	A-322816693	Fim do dia	Alta	13
CVE-2024-40666	A-339609745	Fim do dia	Alta	13

Perguntas e respostas comuns

Esta seção responde a perguntas comuns que podem ocorrer após lendo este boletim.

1. Como determino se meu dispositivo está atualizado para resolver esses problemas?

Para aprender a verificar o nível do patch de segurança de um dispositivo, acesse as instruções da atualização do dispositivo Google programação.

Os níveis de patch de segurança de 01/09/2024 ou mais recente atendem a todos Problemas associados ao patch de segurança de 01/09/2024 nível

Os fabricantes de dispositivos que incluem essas atualizações precisam definir o nível da string de patch como:

[ro.build.version.security_patch]:[2024-09-01]

Em alguns dispositivos com o Android 10 ou versões mais recentes, o Google Play A atualização do sistema vai ter uma string de data igual a 01/09/2024 nível do patch de segurança. Consulte este artigo para mais detalhes sobre como instalar atualizações de segurança.

2. O que as entradas na coluna Tipo significa?

As entradas na coluna Tipo da tabela de detalhes da vulnerabilidade fazem referência à classificação da vulnerabilidade de segurança.

Abreviatura	Definição
RCE	Execução remota de código
Fim do dia	Elevação do privilégio
ID	Divulgação de informações
DoS (DoS)	Negação de serviço
N/A	Classificação indisponível

3. O que as entradas nas Referências média da coluna?

Entradas na coluna Referências do a tabela de detalhes da vulnerabilidade pode conter um prefixo que identifica organização à qual o valor de referência pertence.

Prefixo	Referência
A-	ID do bug do Android
Controle de qualidade	Número de referência da Qualcomm
M-	Número de referência da MediaTek
N-	Número de referência da NVIDIA
B-	Número de referência Broadcom
de	Número de referência do UNISOC

4. O que faz um * ao lado do ID de bug do Android na References?

Os problemas que não estiverem disponíveis publicamente terão um * ao lado do ID de referência correspondente. A atualização desse problema incluídos nos drivers binários mais recentes do Pixel dispositivos disponíveis no site do Google Developers.

5. Por que as vulnerabilidades de segurança estão divididas entre isso e boletins informativos de dispositivos / parceiros, como Boletim do Pixel?

As vulnerabilidades de segurança documentadas neste boletim precisam declarar o nível do patch de segurança mais recente em dispositivos Android. Outras vulnerabilidades de segurança que são documentadas nos boletins de segurança de dispositivos / parceiros não são necessária para declarar um nível de patch de segurança. dispositivo Android e os fabricantes de chipsets também podem publicar vulnerabilidades detalhes específicos dos produtos da empresa, como Google, Huawei, LGE, Motorola, Nokia ou Samsung.

Versões

Versão	Data	Observações
1.0	3 de setembro de 2024	Boletim publicado