O boletim de segurança do Android contém detalhes de vulnerabilidades de segurança que afetam dispositivos Android. Os níveis de patch de segurança de 2024-03-05 ou posterior resolver todos esses problemas. Para aprender a verificar o nível do patch de segurança de um dispositivo, consulte Verificar e atualizar a versão do Android.
Os parceiros Android são notificados sobre todos os problemas pelo menos um mês antes publicação. Os patches de código-fonte para esses problemas foram lançados no Android Open Source Project (AOSP) e vinculado a este boletim. Este boletim também inclui links para patches fora do AOSP.
O mais grave deles é uma vulnerabilidade de segurança crítica na Componente do sistema que pode levar à execução remota de código sem os privilégios de execução necessários. A avaliação de gravidade é baseada no efeito que explorar a vulnerabilidade poderia ter em um dispositivo afetado, supondo que as mitigações de plataforma e serviço estejam desativadas para desenvolvimento ou se forem ignorados.
Consulte a página da API Android e Google Play Protect na seção de mitigações de ameaças para ver detalhes Plataforma de segurança Android de segurança e o Google Play Protect, que aumentam a segurança da plataforma Android.
Serviço do Android e do Google mitigações
Este é um resumo das mitigações oferecidas pelo Plataforma de segurança Android e proteções de serviços, como Google Play Protect Esses recursos reduzem a probabilidade de que as vulnerabilidades de segurança sejam exploradas com sucesso no Android.
- A exploração de muitos problemas no Android se torna mais difícil ao melhorias em versões mais recentes da plataforma Android. Incentivamos todos usuários para a versão mais recente do Android sempre que possível.
- A equipe de segurança do Android monitora ativamente abusos usando Google Play Protect e avisa os usuários sobre Potencialmente Aplicativos nocivos. O Google Play Protect fica ativado por padrão dispositivos com o Google Dispositivo móvel Services e é especialmente importante para usuários que instalam aplicativos de fora do Google Play.
01/03/2024 detalhes da vulnerabilidade no nível do patch de segurança
Nas seções abaixo, fornecemos detalhes de cada um dos requisitos vulnerabilidades que se aplicam ao nível do patch de 01/03/2024. As vulnerabilidades são agrupadas de acordo com o componente que afetam. Os problemas são descritos nas tabelas abaixo e incluem o ID do CVE, associado referências, tipo de vulnerabilidade gravidade, e versões atualizadas do AOSP (quando aplicável). Quando disponível, vincularemos a alteração pública que solucionou o problema ao ID do bug, como a lista de mudanças do AOSP. Quando várias alterações estão relacionadas a um único bug, referências adicionais são vinculado a números após o ID do bug. Dispositivos com o Android 10 e versões mais recentes podem receber atualizações de segurança Google Reproduzir atualizações do sistema.
Framework
A vulnerabilidade mais grave nesta seção pode levar a um encaminhamento local sem precisar de privilégios de execução adicionais.
| CVE | Referências | Tipo | Gravidade | Versões atualizadas do AOSP |
|---|---|---|---|---|
| CVE-2024-0046 | A-299441833 (link em inglês) | Fim do dia | Alta | 12, 12L, 13 e 14 |
| CVE-2024-0048 | A-316893159 (link em inglês) | Fim do dia | Alta | 12, 12L, 13 e 14 |
| CVE-2024-0049 | A-273936274 (link em inglês) | Fim do dia | Alta | 12, 12L, 13 e 14 |
| CVE-2024-0050 | A-273935108 (link em inglês) | Fim do dia | Alta | 12, 12L, 13 e 14 |
| CVE-2024-0051 | A-276442130 (link em inglês) | Fim do dia | Alta | 12, 12L, 13 e 14 |
| CVE-2024-0053 | A-281525042 (link em inglês) | ID | Alta | 12, 12L, 13 e 14 |
| CVE-2024-0047 | A-311687929 (link em inglês) [2] [3] | DoS (DoS) | Alta | 14 |
Sistema
A vulnerabilidade mais grave nesta seção pode levar a falhas no código sem precisar de outros privilégios necessários.
| CVE | Referências | Tipo | Gravidade | Versões atualizadas do AOSP |
|---|---|---|---|---|
| CVE-2024-0039 | A-295887535 (link em inglês) [2] [3] | RCE | Crítico | 12, 12L, 13 e 14 |
| CVE-2024-23717 | A-318374503 (link em inglês) | Fim do dia | Crítico | 12, 12L, 13 e 14 |
| CVE-2023-40081 | A-284297452 (link em inglês) | ID | Alta | 12, 12L, 13 e 14 |
| CVE-2024-0045 | A-300903400 (link em inglês) | ID | Alta | 12, 12L, 13 e 14 |
| CVE-2024-0052 | A-303871379 (link em inglês) | ID | Alta | 14 |
Atualizações do sistema do Google Play
Não há problemas de segurança resolvidos nas atualizações do sistema do Google Play (Projeto Mainline) neste mês.
05/03/2024 detalhes da vulnerabilidade no nível do patch de segurança
Nas seções abaixo, fornecemos detalhes de cada um dos requisitos vulnerabilidades que se aplicam ao nível de patch 2024-03-05. As vulnerabilidades são agrupadas de acordo com o componente que afetam. Os problemas são descritos nas tabelas abaixo e incluem o ID do CVE, associado referências, tipo de vulnerabilidade gravidade, e versões atualizadas do AOSP (quando aplicável). Quando disponível, vincularemos a alteração pública que solucionou o problema ao ID do bug, como a lista de mudanças do AOSP. Quando várias alterações estão relacionadas a um único bug, referências adicionais são vinculado a números após o ID do bug.
AMLogic
Essas vulnerabilidades afetam os componentes da AMLogic e mais detalhes são disponibilizados diretamente pela AMLogic. A avaliação da gravidade desses problemas é fornecida diretamente pela AMLogic.
| CVE | Referências | Gravidade | Subcomponente |
|---|---|---|---|
| CVE-2023-48424 |
A-315373062 * | Alta | Carregador de inicialização |
| CVE-2023-48425 |
A-319132171 * | Alta | Carregador de inicialização |
Componentes do grupo
Essas vulnerabilidades afetam os componentes do Arm. Mais detalhes estão disponíveis diretamente do Arm. A avaliação da gravidade desses problemas é fornecida diretamente pelo Arm.
| CVE | Referências | Gravidade | Subcomponente |
|---|---|---|---|
| CVE-2023-6143 |
A-316197619 * | Alta | Mali |
| CVE-2023-6241 |
A-316206835 * | Alta | Mali |
Componentes do MediaTek
Essas vulnerabilidades afetam os componentes da MediaTek. Outros detalhes são disponíveis diretamente da MediaTek. A avaliação da gravidade desses problemas é fornecida diretamente pela MediaTek.
| CVE | Referências | Gravidade | Subcomponente |
|---|---|---|---|
| CVE-2024-20005 |
A-318303317
M-ALPS08355599 * |
Alta | da |
| CVE-2024-20022 |
A-318302377
M-ALPS08528255 * |
Alta | l |
| CVE-2024-20023 |
A-318302378
M-ALPS08541638 * |
Alta | Flashc |
| CVE-2024-20024 |
A-318316114
M-ALPS08541635 * |
Alta | Flashc |
| CVE-2024-20025 |
A-318316115
M-ALPS08541686 * |
Alta | da |
| CVE-2024-20027 |
A-318316117
M-ALPS08541632 * |
Alta | da |
| CVE-2024-20028 |
A-318310276
M-ALPS08541632 * |
Alta | da |
| CVE-2024-20020 |
A-318302372
M-ALPS08522504 * |
Alta | OTIMIZAÇÃO |
| CVE-2024-20026 |
A-318310274
M-ALPS08541632 * |
Alta | da |
Componentes da Qualcomm
Essas vulnerabilidades afetam os componentes da Qualcomm e estão descritas em mais no boletim ou alerta de segurança da Qualcomm. A avaliação da gravidade desses problemas é fornecida diretamente pela Qualcomm.
| CVE | Referências | Gravidade | Subcomponente |
|---|---|---|---|
| CVE-2023-43546 |
A-314790498
QC-CR#3602482 |
Alta | Segurança |
| CVE-2023-43547 |
A-314791076
QC-CR#3602462 [2] |
Alta | Segurança |
| CVE-2023-43550 |
A-314791623
QC-CR#3595842 |
Alta | Kernel |
| CVE-2023-43552 |
A-314791054
QC-CR#3583521 |
Alta | WLAN |
| CVE-2023-43553 |
A-314791341
QC-CR#3580821 |
Alta | WLAN |
Componentes de código fechado da Qualcomm
Essas vulnerabilidades afetam componentes de código fechado da Qualcomm e descritos em mais detalhes no boletim de segurança da Qualcomm ou alerta de segurança. A avaliação da gravidade desses problemas é fornecida diretamente pela Qualcomm.
| CVE | Referências | Gravidade | Subcomponente |
|---|---|---|---|
| CVE-2023-28578 (em inglês) |
A-285902353 * | Crítico | Componente de código fechado |
| CVE-2023-33042 |
A-295039320 * | Alta | Componente de código fechado |
| CVE-2023-33066 (em inglês) |
A-303101493 * | Alta | Componente de código fechado |
| CVE-2023-33105 |
A-314790953 * | Alta | Componente de código fechado |
| CVE-2023-43539 |
A-314791241 * | Alta | Componente de código fechado |
| CVE-2023-43548 |
A-314790932 * | Alta | Componente de código fechado |
| CVE-2023-43549 |
A-314791266 * | Alta | Componente de código fechado |
Perguntas e respostas comuns
Esta seção responde a dúvidas comuns que podem surgir boletim informativo.
1. Como determino se meu dispositivo está atualizado para resolver esses problemas problemas?
Para aprender a verificar o nível do patch de segurança de um dispositivo, consulte Verificar e atualizar a versão do Android.
- Endereço dos níveis de patch de segurança de 01/03/2024 ou posterior todos os problemas associados ao patch de segurança de 01/03/2024 nível
- Endereço dos níveis de patch de segurança de 05/03/2024 ou posterior todos os problemas associados ao patch de segurança de 05/03/2024 e todos os níveis de patch anteriores.
Os fabricantes de dispositivos que incluem essas atualizações precisam definir a string de patch nível para:
- [ro.build.version.security_patch]:[2024-03-01]
- [ro.build.version.security_patch]:[2024-03-05]
Em alguns dispositivos com o Android 10 ou versões mais recentes, a atualização do sistema do Google Play terá uma string de data que corresponde ao formato 2024-03-01 nível do patch de segurança. Consulte este artigo para mais detalhes sobre como instalar atualizações de segurança.
2. Por que este boletim tem dois níveis de patch de segurança?
Este boletim tem dois níveis de patch de segurança para que os parceiros Android tenham as flexibilidade para corrigir um subconjunto de vulnerabilidades semelhantes Dispositivos Android mais rapidamente. Recomendamos que os parceiros do Android corrijam problemas neste boletim e usar o nível mais recente do patch de segurança.
- Dispositivos que usam o nível do patch de segurança de 01/03/2024 precisa incluir todos os problemas associados ao nível do patch de segurança, além de quando e correções de todos os problemas relatados em boletins de segurança anteriores.
- Dispositivos que usam o nível do patch de segurança de 05/03/2024 ou mais recentes devem incluir todos os patches aplicáveis nesta segurança (e nas anteriores) boletins informativos.
Incentivamos os parceiros a agrupar as correções de todos os problemas encontrados. em uma única atualização.
3. O que significam as entradas na coluna Tipo?
Entradas na coluna Tipo da tabela de detalhes da vulnerabilidade consultar a classificação da vulnerabilidade de segurança.
| Abreviatura | Definição |
|---|---|
| RCE | Execução remota de código |
| Fim do dia | Elevação do privilégio |
| ID | Divulgação de informações |
| DoS (DoS) | Negação de serviço |
| N/A | Classificação indisponível |
4. O que significam as entradas na coluna References?
Entradas na coluna Referências dos detalhes da vulnerabilidade pode conter um prefixo que identifica a organização para a qual Referência pertence.
| Prefixo | Referência |
|---|---|
| A- | ID do bug do Android |
| Controle de qualidade | Número de referência da Qualcomm |
| M- | Número de referência da MediaTek |
| N | Número de referência da NVIDIA |
| B- | Número de referência Broadcom |
| de | Número de referência do UNISOC |
5. O que faz um * ao lado do ID do bug do Android nas Referências? média da coluna?
Os problemas que não estiverem disponíveis publicamente terão um * ao lado do nome da ID de referência. A atualização desse problema geralmente está contida na versão drivers binários para dispositivos Pixel disponíveis no Google Site para desenvolvedores.
6. Por que as vulnerabilidades de segurança estão divididas entre este boletim e de parceiros / dispositivos móveis, como Boletim do Pixel?
As vulnerabilidades de segurança documentadas neste boletim de segurança são obrigatório declarar o nível mais recente do patch de segurança no Android dispositivos. Vulnerabilidades de segurança adicionais que são documentadas na os boletins de segurança de parceiros / dispositivos declarar um nível de patch de segurança. Fabricantes de dispositivos Android e chipsset publicar detalhes de vulnerabilidade de segurança específicos dos produtos, como Google, Huawei, LGE, Motorola, Nokia, ou Samsung.
Versões
| Versão | Data | Observações |
|---|---|---|
| 1.0 | 4 de março de 2024 | Boletim publicado. |
| 1.1 | 29 de julho de 2024 | Tabelas CVE atualizadas. |