Komunikat dotyczący zabezpieczeń Wear OS – marzec 2025 r.

Opublikowano 3 marca 2025 r.

Biuletyn o zabezpieczeniach Wear OS zawiera informacje o lukach w zabezpieczeniach, które wpływają na platformę Wear OS. Pełna aktualizacja Wear OS obejmuje poziom poprawki zabezpieczeń 2025-03-05 lub nowszy z biuletynu bezpieczeństwa Androida z marca 2025 r., a także wszystkie problemy opisane w tym biuletynie.

Zachęcamy wszystkich klientów do akceptowania tych aktualizacji na swoich urządzeniach.

Najpoważniejszym z tych problemów jest luka w zabezpieczeniach w komponencie System, która może prowadzić do lokalnej eskalacji uprawnień bez konieczności uzyskania dodatkowych uprawnień do wykonywania. Ocena wpływu jest oparta na efekcie, jaki wykorzystanie luki w zabezpieczeniach może mieć na urządzeniu docelowym, przy założeniu, że zabezpieczenia platformy i usługi są wyłączone na potrzeby rozwoju lub że zostały pomyślnie omijane.

Ogłoszenia

  • Oprócz luk w zabezpieczeniach opisanych w komunikatach o lukach w zabezpieczeniach w Androidzie z marca 2025 r., komunikat o lukach w zabezpieczeniach w Wear OS z marca 2025 r. zawiera też poprawki dotyczące luk w zabezpieczeniach w Wear OS, o których mowa poniżej.

2025-03-01 szczegóły luki w zabezpieczeniach dotyczące poziomu aktualizacji zabezpieczeń

W sekcjach poniżej znajdziesz szczegółowe informacje o każdej z luk w zabezpieczeniach, które dotyczą poziomu poprawek z 2025-03-01. Luki w zabezpieczeniach są pogrupowane według komponentu, którego dotyczą. Problemy są opisane w tabelach poniżej i zawierają identyfikator CVE, powiązane odniesienia, typ luki, powagę oraz zaktualizowane wersje AOSP (w stosownych przypadkach). W razie możliwości łączymy publiczną zmianę, która rozwiązała problem, z identyfikatorem błędu, np. z listą zmian w AOSP. Jeśli wiele zmian dotyczy jednego błędu, dodatkowe odniesienia są połączone z liczbami po identyfikatorze błędu. Urządzenia z Androidem 10 lub nowszym mogą otrzymywać aktualizacje zabezpieczeń, a także aktualizacje systemowe Google Play.

System

Najpoważniejsza luka w tym rozdziale może prowadzić do lokalnego podwyższenia uprawnień bez konieczności uzyskania dodatkowych uprawnień do wykonania.

CVE Pliki referencyjne Typ Poziom Wersje AOSP
CVE-2025-22414 A-286591853 EoP Wysoki 13, 14
CVE-2025-22415 A-380885358 EoP Wysoki 13, 14

Najczęstsze pytania i odpowiedzi

W tej sekcji znajdziesz odpowiedzi na najczęstsze pytania, które mogą pojawić się po przeczytaniu tego biuletynu.

1. Jak sprawdzić, czy moje urządzenie jest zaktualizowane i czy zawiera poprawki dotyczące tych problemów?

Aby dowiedzieć się, jak sprawdzić poziom poprawki zabezpieczeń urządzenia, zapoznaj się z instrukcjami na stronie Harmonogram aktualizacji urządzeń Google.

  • Stany aktualizacji zabezpieczeń z poziomu 2025-03-01 lub nowszego rozwiązują wszystkie problemy związane z poziomem aktualizacji zabezpieczeń 2025-03-01.

Producenci urządzeń, którzy udostępniają te aktualizacje, powinni ustawić poziom ciągu poprawek na:

  • [ro.build.version.security_patch]:[2025-03-01]

W przypadku niektórych urządzeń z Androidem 10 lub nowszym aktualizacja systemu Google Play będzie miała ciąg znaków daty odpowiadający poziomowi poprawki zabezpieczeń z 03.03.2025. Więcej informacji o instalowaniu aktualizacji zabezpieczeń znajdziesz w tym artykule.

2. Co oznaczają wpisy w kolumnie Typ?

Wpisy w kolumnie Typ w tabeli szczegółów podatności odnoszą się do klasyfikacji podatności na zagrożenia.

Skrót Definicja
RCE Zdalne wykonywanie kodu
EoP Podniesienie uprawnień
ID Ujawnianie informacji
DoS Atak typu DoS
Nie dotyczy Klasyfikacja niedostępna

3. Co oznaczają wpisy w kolumnie Odniesienia?

Wpisy w kolumnie Odwołania w tabeli szczegółów podatności mogą zawierać prefiks identyfikujący organizację, do której należy wartość odwołania.

Prefiks Źródła wiedzy
A- Identyfikator błędu na Androidzie
QC- Numer referencyjny Qualcomm
M- Numer referencyjny MediaTek
N- Numer referencyjny NVIDIA
B- Numer referencyjny Broadcom
U- Numer referencyjny UNISOC

4. Co oznacza znak * obok identyfikatora błędu Androida w kolumnie Odniesienia?

Obok odpowiedniego identyfikatora referencyjnego problemów, które nie są dostępne publicznie, znajduje się znak *. Aktualizacja dotycząca tego problemu jest zwykle zawarta w najnowszych binarnych sterownikach urządzeń Pixel, które można pobrać na stronie Google Developer.

5. Dlaczego luki w zabezpieczeniach są podzielone między ten biuletyn a biuletyny o zabezpieczeniach dotyczące urządzeń i partnerów, np. biuletyn o Pixelu?

Aby zadeklarować najnowszy poziom aktualizacji zabezpieczeń na urządzeniach z Androidem, należy uwzględnić luki w zabezpieczeniach opisane w tym biuletynie. Dodatkowe luki w zabezpieczeniach opisane w biuletynach bezpieczeństwa dotyczących urządzenia lub partnera nie są wymagane do zadeklarowania poziomu poprawki zabezpieczeń. Producenci urządzeń i układów scalonych z Androidem mogą też publikować informacje o lukach w zabezpieczeniach w swoich produktach, takich jak Google, Huawei, LGE, Motorola, NokiaSamsung.

Wersje

Wersja Data Uwagi
1,0 3 marca 2025 r. Biuletyn opublikowany