עדכון אבטחה דחוף ל-Wear OS – נובמבר 2024

פורסם ב-4 בנובמבר 2024

עדכון האבטחה של Wear OS מכיל פרטים על נקודות חולשה באבטחה שמשפיעות על פלטפורמת Wear OS. העדכון המלא של Wear OS כולל את רמת תיקון האבטחה מ-5 בנובמבר 2024 ואילך מעדכון האבטחה הדחוף ל-Android בנובמבר 2024, בנוסף לכל הבעיות שמפורטות בעדכון הזה.

אנחנו ממליצים לכל הלקוחות לאשר את העדכונים האלה במכשירים שלהם.

הבעיה החמורה ביותר היא נקודת חולשה ברמת האבטחה הגבוהה ביותר ברכיב המערכת, שעלולה להוביל להסלמת הרשאות (privilege escalation) ברמה המקומית ללא צורך בהרשאות ביצוע נוספות. הערכת החומרה מבוססת על ההשפעה שעלולה להיות לניצול נקודת החולשה על מכשיר מושפע, בהנחה שהאמצעי למזעור הפגיעות בפלטפורמה ובשירות מושבתים למטרות פיתוח או אם הם עוקפים בהצלחה.

הודעות

  • בנוסף לפרצות האבטחה שמתוארות בעדכון האבטחה של Android בנובמבר 2024, עדכון האבטחה של Wear OS לחודש נובמבר 2024 כולל גם תיקונים ספציפיים לנקודות חולשה של Wear OS, כפי שמתואר בהמשך.

פרטי נקודת החולשה ברמת תיקון האבטחה 2024-11-01

בסעיפים שבהמשך אנחנו מציגים פרטים על כל נקודות החולשה באבטחה שחלות על רמת התיקון בתאריך 11.11.2024. נקודות החולשה מקובצות לפי הרכיב שבו הן משפיעות. הבעיות מתוארות בטבלאות הבאות, וכוללות את מזהה ה-CVE, מקורות מידע משויכים, סוג נקודת החולשה, מידת החומרה וגרסאות AOSP מעודכנות (אם רלוונטי). כשהאפשרות הזו זמינה, אנחנו מקשרים את השינוי הציבורי שטיפל בבעיה למזהה הבאג, כמו רשימת השינויים ב-AOSP. כשיש כמה שינויים שקשורים לבאג אחד, הפניות נוספות מקושרות למספרים שמופיעים אחרי מזהה הבאג. במכשירים עם Android מגרסה 10 ואילך יכולים להגיע עדכוני אבטחה וגם עדכוני מערכת של Google Play.

Framework

נקודת החולשה בקטע הזה עלולה להוביל להסלמת הרשאות (privilege escalation) ברמה מקומית ללא צורך בהרשאות ביצוע נוספות.

CVE קובצי עזר סוג מידת החומרה גרסאות AOSP
CVE-2024-43094 A-303960097 מזהה רחב 13

מערכת

נקודת החולשה בקטע הזה עלולה להוביל להסלמת הרשאות מקומית בלי צורך בהרשאות הפעלה נוספות.

CVE קובצי עזר סוג מידת החומרה גרסאות AOSP
CVE-2024-31330 A-355642327 EoP רחב 13

שאלות נפוצות ותשובות

בקטע הזה נענה על שאלות נפוצות שעשויות להתעורר אחרי קריאת העדכון.

1. איך אפשר לדעת אם המכשיר מעודכן כדי לטפל בבעיות האלה?

במאמר לוח הזמנים של עדכוני המכשירים של Google מוסבר איך בודקים את רמת תיקון האבטחה של המכשיר.

  • רמות תיקון האבטחה מגרסה 11.11.2024 ואילך מתייחסות לכל הבעיות שקשורות לרמת תיקון האבטחה משנת 2024.

יצרני מכשירים שכוללים את העדכונים האלה צריכים להגדיר את רמת מחרוזת התיקון ל-:

  • [ro.build.version.security_patch]:‏[2024-11-01]

במכשירים מסוימים עם Android מגרסה 10 ואילך, למחרוזת התאריך של עדכון המערכת של Google Play תהיה התאמה לרמת תיקון האבטחה 1 בנובמבר 2024. במאמר הזה אפשר לקרוא פרטים נוספים על התקנת עדכוני אבטחה.

2. מה המשמעות של הערכים שבעמודה סוג?

הרשומות בעמודה Type בטבלת פרטי נקודת החולשה מתייחסות לסיווג של נקודת החולשה באבטחה.

קיצור הגדרה
RCE ביצוע קוד מרחוק
EoP הסלמת הרשאות
מזהה חשיפת מידע
מניעת שירות (DoS) התקפת מניעת שירות (DoS)
לא רלוונטי הסיווג לא זמין

3. מה המשמעות של הרשומות בעמודה References?

רשומות בעמודה References בטבלת פרטי נקודת החולשה עשויות להכיל קידומת שמזהה את הארגון שאליו שייך ערך ההפניה.

תחילית חומרי עזר
A-‎ מזהה הבאג ב-Android
QC-‎ מספר הסימוכין של Qualcomm
M-‎ מספר סימוכין של MediaTek
N-‎ מספר הסימוכין של NVIDIA
B-‎ מספר הסימוכין של Broadcom
U-‎ מספר אסמכתה של UNISOC

4. מה המשמעות של * ליד מזהה הבאג של Android בעמודה References?

ליד מזהה העזרה התואם של בעיות שלא זמינות לציבור מופיע הסימן *. העדכון לבעיה הזו נכלל בדרך כלל במנהלי ההתקנים הבינאריים העדכניים ביותר למכשירי Pixel, שזמינים באתר Google Developers.

5. למה נקודות החולשה באבטחה מחולקות בין העדכון הזה לבין עדכוני אבטחה של מכשירים או שותפים, כמו העדכון בנושא Pixel?

נקודות החולשה באבטחה המתועדות בעדכון האבטחה הזה מחייבות להצהיר על רמת תיקון האבטחה העדכנית ביותר במכשירי Android. נקודות חולשה נוספות באבטחה שמתועדות בעדכוני האבטחה של המכשיר או השותף לא נדרשות כדי להכריז על רמת תיקון אבטחה. יצרני שבבים ומכשירי Android עשויים לפרסם גם פרטים על נקודות חולשה באבטחה שספציפיות למוצרים שלהם, כמו Google,‏ Huawei,‏ LGE,‏ Motorola,‏ Nokia או Samsung.

גרסאות

גרסה תאריך הערות
1.0 4 בנובמבר 2024 העדכון פורסם.