במאמר הזה מפורטות פרצות אבטחה שמשפיעות על פלטפורמת Wear OS. העדכון המלא של Wear OS כולל את רמת תיקון האבטחה מ-5 בספטמבר 2025 או מאוחר יותר מעדכון האבטחה של Android מספטמבר 2025, בנוסף לכל הבעיות שמופיעות בעדכון הזה.
אנחנו ממליצים לכל הלקוחות לאשר את העדכונים האלה במכשירים שלהם.
הבעיה החמורה ביותר היא נקודת חולשה באבטחה ברמה גבוהה ברכיב המערכת, שעלולה להוביל להסלמת הרשאות (privilege escalation) ברמה המקומית ללא צורך בהרשאות ביצוע נוספות. לא נדרשת אינטראקציה מצד המשתמש כדי לנצל את הפגיעות. הערכת חומרת הפגיעות מבוססת על ההשפעה שעלולה להיות לניצול הפגיעות על מכשיר מושפע, בהנחה שהפלטפורמה והשירותים להפחתת הסיכון מושבתים למטרות פיתוח או אם נעקפו בהצלחה.
הודעות
- בנוסף לנקודות החולשה באבטחה שמפורטות ב-Android Security Bulletin (עדכון האבטחה של Android) מספטמבר 2025, ב-Wear OS Security Bulletin (עדכון האבטחה של Wear OS) מספטמבר 2025 יש גם תיקונים שספציפיים לנקודות חולשה ב-Wear OS, כפי שמתואר בהמשך.
2025-09-01 פרטים על פגיעות ברמת תיקון האבטחה
בקטעים הבאים מפורטות כל פגיעויות האבטחה שרלוונטיות לרמת התיקון 2025-09-01. נקודות החולשה מקובצות לפי הרכיב שהן משפיעות עליו. בטבלאות הבאות מתוארות הבעיות, כולל מזהה CVE, הפניות משויכות, סוג נקודת החולשה, חומרת הבעיה וגרסאות AOSP מעודכנות (אם רלוונטי). אם יש שינוי ציבורי שפותר את הבעיה, אנחנו מקשרים אותו למזהה הבאג, כמו רשימת השינויים של AOSP. אם כמה שינויים קשורים לאותו באג, הפניות הנוספות מקושרות למספרים שאחרי מזהה הבאג. יכול להיות שמכשירים עם Android 10 ואילך יקבלו עדכוני אבטחה וגם עדכוני מערכת של Google Play.
מערכת
נקודת החולשה החמורה ביותר בקטע הזה עלולה להוביל להסלמת הרשאות מקומית ללא צורך בהרשאות ביצוע נוספות. לא נדרשת אינטראקציה מצד המשתמש כדי לנצל את הפגיעות.
| CVE | קובצי עזר | סוג | מידת החומרה | גרסאות AOSP |
|---|---|---|---|---|
| CVE-2025-32322 | A-402142219 | EoP | רחב | 13, 14 |
| CVE-2025-48560 | A-419110583 | מזהה | רחב | 14 |
שאלות ותשובות נפוצות
בקטע הזה תמצאו תשובות לשאלות נפוצות שעשויות להתעורר אחרי קריאת העלון הזה.
1. איך אפשר לדעת אם המכשיר שלי עודכן כדי לפתור את הבעיות האלה?
כדי ללמוד איך בודקים את הרמה של תיקוני האבטחה במכשיר, קוראים את ההוראות בלוח הזמנים של עדכוני מכשירי Google.
- רמות תיקון האבטחה מ-2025-09-01 ואילך מטפלות בכל הבעיות שמשויכות לרמת תיקון האבטחה מ-2025-09-01.
יצרני מכשירים שכוללים את העדכונים האלה צריכים להגדיר את הרמה של מחרוזת התיקון לערך הבא:
- [ro.build.version.security_patch]:[2025-09-01]
במכשירים מסוימים עם Android 10 ואילך, לעדכון מערכת Google Play יהיה מחרוזת תאריך שתואמת לרמה של תיקון האבטחה 2025-09-01. במאמר הזה מוסבר איך להתקין עדכוני אבטחה.
2. מה המשמעות של הערכים בעמודה Type (סוג)?
הערכים בעמודה סוג בטבלת פרטי נקודת החולשה מתייחסים לסיווג של נקודת החולשה באבטחה.
| קיצור | הגדרה |
|---|---|
| RCE | ביצוע קוד מרחוק |
| EoP | העלאת רמת ההרשאה |
| מזהה | גילוי נאות לגבי מידע |
| DoS | מניעת שירות |
| לא רלוונטי | הסיווג לא זמין |
3. מה המשמעות של הערכים בעמודה הפניות?
רשומות בעמודה References בטבלת פרטי הפגיעות עשויות להכיל קידומת שמזהה את הארגון שאליו שייך ערך ההפניה.
| תחילית | חומרי עזר |
|---|---|
| A- | מזהה באג ב-Android |
| QC- | מספר סימוכין של Qualcomm |
| M- | מספר סימוכין של MediaTek |
| N- | מספר סימוכין של NVIDIA |
| B- | מספר סימוכין של Broadcom |
| U- | מספר סימוכין של UNISOC |
4. מה המשמעות של הכוכבית (*) לצד מזהה הבאג ב-Android בעמודה References?
לבעיות שלא זמינות לציבור יש * ליד מזהה ההפניה המתאים. העדכון לבעיה הזו בדרך כלל כלול במנהלי ההתקנים הבינאריים העדכניים ביותר למכשירי Pixel שזמינים באתר Google Developers.
5. למה נקודות החולשה באבטחה מחולקות בין העלון הזה לבין עלוני אבטחה של מכשירים או שותפים, כמו עלון Pixel?
כדי להצהיר על רמת תיקון האבטחה העדכנית במכשירי Android, צריך לתקן את נקודות החולשה באבטחה שמתועדות בעדכון האבטחה הזה. לא נדרש לתקן נקודות חולשה נוספות באבטחה שמפורטות בעדכוני האבטחה של המכשיר או השותף כדי להצהיר על רמת תיקון אבטחה. יצרנים של מכשירי Android וערכות שבבים עשויים לפרסם גם פרטים על פגיעויות אבטחה שספציפיות למוצרים שלהם, כמו Google, Huawei, LGE, Motorola, Nokia או Samsung.
גרסאות
| גרסה | תאריך | הערות |
|---|---|---|
| 1.0 | 2 בספטמבר 2025 | Bulletin published |