Komunikat dotyczący bezpieczeństwa Wear OS – listopad 2024 r.

Opublikowano: 4 listopada 2024 r.

Biuletyn na temat bezpieczeństwa Wear OS zawiera szczegółowe informacje o lukach w zabezpieczeniach występujących na platformie Wear OS. Pełna aktualizacja Wear OS obejmuje poziom poprawki zabezpieczeń z 2024-11-05 lub nowszy z Biuletynu bezpieczeństwa Androida z listopada 2024 r., a także wszystkie problemy opisane w tym biuletynie.

Zachęcamy wszystkich klientów do zaakceptowania tych aktualizacji na swoich urządzeniach.

Najpoważniejszym z tych problemów jest luka w zabezpieczeniach w komponencie System, która może prowadzić do lokalnego podwyższenia uprawnień bez konieczności uzyskania dodatkowych uprawnień do wykonania. Ocena wpływu jest oparta na efekcie, jaki wykorzystanie luki w zabezpieczeniach może mieć na urządzeniu docelowym, przy założeniu, że zabezpieczenia platformy i usługi są wyłączone na potrzeby rozwoju lub że zostały pomyślnie omijane.

Ogłoszenia

  • Oprócz luk w zabezpieczeniach opisanych w biuletynie o bezpieczeństwie Androida z listopada 2024 r. Biuletyn na temat bezpieczeństwa Wear OS z listopada 2024 r. zawiera też poprawki przeznaczone specjalnie do tych luk w zabezpieczeniach, które opisaliśmy poniżej.

Szczegóły luki w poziomiem aktualizacji zabezpieczeń 2024-11-01

W poniższych sekcjach znajdziesz szczegółowe informacje o każdej lukie w zabezpieczeniach, która pojawia się w aktualizacjach z 11.11.2024 r. Luki w zabezpieczeniach są pogrupowane według komponentu, którego dotyczą. Problemy są opisane w tabelach poniżej i zawierają identyfikator CVE, powiązane odniesienia, typ luki, powagę oraz zaktualizowane wersje AOSP (w odpowiednich przypadkach). W razie możliwości łączymy publiczną zmianę, która rozwiązała problem, z identyfikatorem błędu, np. z listą zmian w AOSP. Jeśli wiele zmian dotyczy jednego błędu, dodatkowe odniesienia są połączone z liczbami po identyfikatorze błędu. Urządzenia z Androidem 10 lub nowszym mogą otrzymywać aktualizacje zabezpieczeń oraz aktualizacje systemowe Google Play.

Platforma

Użytkownik, który wykorzysta podatność opisaną w tej sekcji, może uzyskać lokalne uprawnienia bez dodatkowych uprawnień do wykonania.

standard CVE Pliki referencyjne Typ Poziom Wersje AOSP
CVE-2024-43094 A-303960097 ID Wysoki 13

System

Użytkownik lokalny może wykorzystać podatność opisaną w tej sekcji, aby uzyskać dodatkowe uprawnienia bez konieczności uzyskania dodatkowych uprawnień do wykonania.

CVE Pliki referencyjne Typ Poziom Wersje AOSP
CVE-2024-31330 A-355642327 EoP Wysoki 13

Najczęstsze pytania i odpowiedzi

W tej sekcji znajdziesz odpowiedzi na najczęstsze pytania, które mogą pojawić się po przeczytaniu tego biuletynu.

1. Jak sprawdzić, czy moje urządzenie jest zaktualizowane i czy zawiera poprawki dotyczące tych problemów?

Aby dowiedzieć się, jak sprawdzić poziom poprawki zabezpieczeń urządzenia, zapoznaj się z instrukcjami na stronie Harmonogram aktualizacji urządzeń Google.

  • Poziomy aktualizacji zabezpieczeń 2024-11-01 lub nowsze rozwiązują wszystkie problemy związane z poziomem 2024-11-01.

Producenci urządzeń, którzy udostępniają te aktualizacje, powinni ustawić poziom ciągu poprawek na:

  • [ro.build.version.security_patch]:[2024-11-01]

W przypadku niektórych urządzeń z Androidem 10 lub nowszym aktualizacja systemu Google Play będzie miała ciąg znaków daty odpowiadający poziomowi poprawki zabezpieczeń 2024-11-01. Więcej informacji o instalowaniu aktualizacji zabezpieczeń znajdziesz w tym artykule.

2. Co oznaczają wpisy w kolumnie Typ?

Wpisy w kolumnie Typ w tabeli szczegółów podatności odnoszą się do klasyfikacji podatności na zagrożenia.

Skrót Definicja
RCE Zdalne wykonywanie kodu
EoP Podniesienie uprawnień
ID Ujawnianie informacji
DoS Atak typu DoS
Nie dotyczy Klasyfikacja niedostępna

3. Co oznaczają wpisy w kolumnie Odniesienia?

Wpisy w kolumnie Odwołania w tabeli szczegółów podatności mogą zawierać prefiks identyfikujący organizację, do której należy wartość odwołania.

Prefiks Źródła wiedzy
A- Identyfikator błędu na Androidzie
QC- Numer referencyjny Qualcomm
M Numer referencyjny MediaTek
N- Numer referencyjny NVIDIA
B- Numer referencyjny Broadcom
U Numer referencyjny UNISOC

4. Co oznacza symbol * obok identyfikatora błędu Androida w kolumnie References?

Obok odpowiedniego identyfikatora referencyjnego problemy, które nie są dostępne publicznie, znajduje się znak *. Aktualizacja dotycząca tego problemu jest zwykle zawarta w najnowszych binarnych sterownikach urządzeń Pixel, które można pobrać na stronie Google Developer.

5. Dlaczego luki w zabezpieczeniach są podzielone między ten biuletyn a biuletyny o zabezpieczeniach urządzeń / partnerów, takie jak biuletyn Pixela?

Luki w zabezpieczeniach opisane w tym biuletynie są wymagane do zadeklarowania najnowszego poziomu poprawek zabezpieczeń na urządzeniach z Androidem. Dodatkowe luki w zabezpieczeniach opisane w biuletynach bezpieczeństwa dotyczących urządzenia lub partnera nie są wymagane do zadeklarowania poziomu aktualizacji zabezpieczeń. Producenci urządzeń i układów scalonych z Androidem mogą też publikować informacje o lukach w zabezpieczeniach w swoich produktach, takich jak Google, Huawei, LGE, Motorola, NokiaSamsung.

Wersje

Wersja Data Uwagi
1,0 4 listopada 2024 r. Biuletyn został opublikowany.