Das Android-Sicherheitsbulletin enthält Details zu Sicherheitslücken. die Android-Geräte betreffen. Stand der Sicherheits-Patches von 2024-03-05 oder später. Informationen zum Prüfen des Sicherheitspatch-Levels eines Geräts finden Sie unter Android-Version prüfen und aktualisieren
Android-Partner werden mindestens einen Monat im Voraus über alle Probleme informiert Veröffentlichung. Quellcode-Patches für diese Probleme wurden für die Android Open Quellprojekt-Repository (AOSP) und über dieses Bulletin verlinkt. Dieses Bulletin enthält auch Links zu Patches außerhalb von AOSP.
Das schwerwiegendste Problem ist eine kritische Sicherheitslücke im Systemkomponente, die zu einer Remote-Codeausführung ohne zusätzliche Ausführungsberechtigungen erforderlich. Die Bewertung des Schweregrads basiert auf der Auswirkung, die möglicherweise auf einem betroffenen Gerät ausgenutzt werden, Unter der Annahme, dass die Maßnahmen zur Risikominderung für Plattform und Dienste für die Entwicklung deaktiviert sind oder wenn sie erfolgreich umgangen werden.
Weitere Informationen finden Sie im Artikel Android und Google Play Protect finden Sie im Abschnitt zu den Risikominderungen Android-Sicherheitsplattform Schutzmaßnahmen und Google Play Protect, die die Sicherheit der Android-Plattform verbessern.
Android und Google-Dienste Abwehrmaßnahmen
Dies ist eine Zusammenfassung der Maßnahmen, Android-Sicherheitsplattform und Dienstschutzmaßnahmen wie Google Play Protect Diese Fähigkeiten reduzieren die Wahrscheinlichkeit, dass Sicherheitslücken unter Android ausgenutzt werden könnten.
- Die Ausnutzung vieler Probleme unter Android wird erschwert, Verbesserungen in neueren Versionen der Android-Plattform. Wir empfehlen allen Nutzer*innen , um nach Möglichkeit auf die neueste Android-Version zu aktualisieren.
- Das Android-Sicherheitsteam überwacht aktiv Google Play Google Protect und warnt Nutzer vor Potenziell Schädliche Apps. Google Play Protect ist standardmäßig aktiviert auf Geräte mit Google Mobil -Dienste. Dies ist besonders wichtig für Nutzer, die Apps über außerhalb von Google Play.
01.03.2024 Details zu Sicherheitslücken auf Sicherheitspatch-Ebene
In den folgenden Abschnitten finden Sie Details zu den einzelnen Sicherheitsfunktionen Sicherheitslücken auf dem Patchlevel vom 01.03.2024. Sicherheitslücken werden unter der jeweiligen Komponente gruppiert. Probleme sind in den folgenden Tabellen beschrieben und umfassen die CVE-ID, die zugehörigen Referenzen, Art der Sicherheitslücke severity und aktualisierte AOSP-Versionen (falls zutreffend). Sofern verfügbar, verknüpfen wir die öffentliche Änderung, die das Problem gelöst hat, mit dem Bug-ID wie die AOSP-Änderungsliste. Wenn sich mehrere Änderungen auf einen einzelnen Fehler beziehen, werden zusätzliche Referenzen die mit Nummern verknüpft sind, die auf die Fehler-ID folgen. Geräte mit Android 10 und höher erhalten möglicherweise Sicherheitsupdates Google Wiedergeben Systemupdates.
Framework
Die schwerste Schwachstelle in diesem Abschnitt könnte zu einer lokalen Eskalation führen. ohne zusätzliche Ausführungsberechtigungen.
| CVE | Referenzen | Typ | Wichtigkeit | Aktualisierte AOSP-Versionen |
|---|---|---|---|---|
| CVE-2024-0046 | A 299441833 | EOP | Hoch | 12, 12L, 13, 14 |
| CVE-2024-0048 | A 316893159 | EOP | Hoch | 12, 12L, 13, 14 |
| CVE-2024-0049 | A 273936274 | EOP | Hoch | 12, 12L, 13, 14 |
| CVE-2024-0050 | A 273935108 | EOP | Hoch | 12, 12L, 13, 14 |
| CVE-2024-0051 | A 276442130 | EOP | Hoch | 12, 12L, 13, 14 |
| CVE-2024-0053 | A 281525042 | ID | Hoch | 12, 12L, 13, 14 |
| CVE-2024-0047 | A 311687929 [2] [3] | DoS | Hoch | 14 |
System
Die größte Sicherheitslücke in diesem Abschnitt könnte zu Remotecode führen. ohne zusätzliche Berechtigungen für die Ausführung erforderlich.
| CVE | Referenzen | Typ | Wichtigkeit | Aktualisierte AOSP-Versionen |
|---|---|---|---|---|
| CVE-2024-0039 | A 295887535 [2] [3] | RCE | Kritisch | 12, 12L, 13, 14 |
| CVE-2024-23717 | A 318374503 | EOP | Kritisch | 12, 12L, 13, 14 |
| CVE-2023-40081 | A 284297452 | ID | Hoch | 12, 12L, 13, 14 |
| CVE-2024-0045 | A 300903400 | ID | Hoch | 12, 12L, 13, 14 |
| CVE-2024-0052 | A 303871379 | ID | Hoch | 14 |
Google Play-Systemupdates
In den Google Play-Systemupdates wurden keine Sicherheitsprobleme behandelt. (Project Mainline) diesen Monat.
05.03.2024 Details zu Sicherheitslücken auf Sicherheitspatch-Ebene
In den folgenden Abschnitten finden Sie Details zu den einzelnen Sicherheitsfunktionen Sicherheitslücken beim Patchlevel vom 05.03.2024. Sicherheitslücken werden unter der jeweiligen Komponente gruppiert. Probleme sind in den folgenden Tabellen beschrieben und umfassen die CVE-ID, die zugehörigen Referenzen, Art der Sicherheitslücke severity und aktualisierte AOSP-Versionen (falls zutreffend). Sofern verfügbar, verknüpfen wir die öffentliche Änderung, die das Problem gelöst hat, mit dem Bug-ID wie die AOSP-Änderungsliste. Wenn sich mehrere Änderungen auf einen einzelnen Fehler beziehen, werden zusätzliche Referenzen die mit Nummern verknüpft sind, die auf die Fehler-ID folgen.
Logo: AMLogic
Diese Sicherheitslücken betreffen AMLogic-Komponenten. erhalten Sie direkt bei AMLogic. Die Bewertung des Schweregrads dieser Probleme wird direkt von AMLogic bereitgestellt.
| CVE | Referenzen | Wichtigkeit | Unterkomponente |
|---|---|---|---|
| CVE-2023-48424 |
A-315373062 * | Hoch | Bootloader |
| CVE-2023-48425 |
A-319132171 * | Hoch | Bootloader |
Armkomponenten
Diese Sicherheitslücken betreffen Arm-Komponenten. Weitere Informationen sind verfügbar. direkt von ARM. Die Einschätzung des Schweregrads dieser Probleme erfolgt direkt durch Arm.
| CVE | Referenzen | Wichtigkeit | Unterkomponente |
|---|---|---|---|
| CVE-2023-6143 |
A-316197619 * | Hoch | Mali |
| CVE-2023-6241 |
A-316206835 * | Hoch | Mali |
MediaTek-Komponenten
Diese Sicherheitslücken betreffen MediaTek-Komponenten. direkt bei MediaTek erhältlich. Die Einschätzung des Schweregrads dieser Probleme erfolgt direkt durch MediaTek.
| CVE | Referenzen | Wichtigkeit | Unterkomponente |
|---|---|---|---|
| CVE-2024-20005 |
A-318303317
M-ALPS08355599 * |
Hoch | da |
| CVE-2024-20022 |
A-318302377
M-ALPS08528255 * |
Hoch | lk |
| CVE-2024-20023 |
A-318302378
M-ALPS08541638 * |
Hoch | FlashC |
| CVE-2024-20024 |
A-318316114
M-ALPS08541635 * |
Hoch | FlashC |
| CVE-2024-20025 |
A-318316115
M-ALPS08541686 * |
Hoch | da |
| CVE-2024-20027 |
+49-318316117
M-ALPS08541632 * |
Hoch | da |
| CVE-2024-20028 |
A-318310276
M-ALPS08541632 * |
Hoch | da |
| CVE-2024-20020 |
A-318302372
M-ALPS08522504 * |
Hoch | OPTIMIEREN |
| CVE-2024-20026 |
A-318310274
M-ALPS08541632 * |
Hoch | da |
Qualcomm-Komponenten
Diese Sicherheitslücken betreffen Qualcomm-Komponenten und werden weiter unten beschrieben. im entsprechenden Qualcomm-Sicherheitsbulletin oder in der Sicherheitswarnung enthalten. Die Einschätzung des Schweregrads dieser Probleme erfolgt direkt durch Qualcomm.
| CVE | Referenzen | Wichtigkeit | Unterkomponente |
|---|---|---|---|
| CVE-2023-43546 |
A-314790498
QC-CR#3602482 |
Hoch | Sicherheit |
| CVE-2023-43547 |
A-314791076
QC-CR#3602462 [2] |
Hoch | Sicherheit |
| CVE-2023-43550 |
A-314791623
QC-CR#3595842 |
Hoch | Kernel |
| CVE-2023-43552 |
A-314791054
QC-CR#3583521 |
Hoch | WLAN |
| CVE-2023-43553 |
A-314791341
QC-CR#3580821 |
Hoch | WLAN |
Closed-Source-Komponenten von Qualcomm
Diese Sicherheitslücken betreffen die Closed-Source-Komponenten von Qualcomm und sind im entsprechenden Qualcomm-Sicherheitsbulletin genauer beschrieben oder Sicherheitswarnung. Die Einschätzung des Schweregrads dieser Probleme erfolgt direkt durch Qualcomm.
| CVE | Referenzen | Wichtigkeit | Unterkomponente |
|---|---|---|---|
| CVE-2023-28578 |
A-285902353 * | Kritisch | Closed-Source-Komponente |
| CVE-2023-33042 |
A-295039320 * | Hoch | Closed-Source-Komponente |
| CVE-2023-33066 |
A-303101493 * | Hoch | Closed-Source-Komponente |
| CVE-2023-33105 |
A-314790953 * | Hoch | Closed-Source-Komponente |
| CVE-2023-43539 |
A-314791241 * | Hoch | Closed-Source-Komponente |
| CVE-2023-43548 |
A-314790932 * | Hoch | Closed-Source-Komponente |
| CVE-2023-43549 |
A-314791266 * | Hoch | Closed-Source-Komponente |
Häufig gestellte Fragen und Antworten
In diesem Abschnitt finden Sie Antworten auf häufig gestellte Fragen, die nach dem Lesen dieses Artikels auftreten können. .
1. Wie finde ich heraus, ob mein Gerät entsprechend aktualisiert wurde? Probleme?
Informationen zum Prüfen des Sicherheitspatch-Levels eines Geräts finden Sie unter Android-Version prüfen und aktualisieren
- Sicherheitspatch-Levels ab 01.03.2024 alle Probleme im Zusammenhang mit dem Sicherheitspatch vom 01.03.2024
- Sicherheitspatch-Levels ab dem 05.03.2024 alle Probleme im Zusammenhang mit dem Sicherheitspatch vom 05.03.2024 und alle vorherigen Patch-Levels.
Gerätehersteller, die diese Updates verwenden, sollten den Patchstring festlegen. Ebene zu:
- [ro.build.version.security_patch]:[01.03.2024]
- [ro.build.version.security_patch]:[05.03.2024]
Bei einigen Geräten mit Android 10 oder höher wird das Google Play-Systemupdate hat einen Datumsstring, der mit dem 01.03.2024 übereinstimmt. Stand der Sicherheitsupdates. Weitere Informationen findest du in diesem Artikel. Sicherheitsupdates zu installieren.
2. Warum gibt es in diesem Bulletin zwei Sicherheitspatch-Level?
Dieses Bulletin enthält zwei Sicherheitspatch-Levels, die die Möglichkeit, einen Teil der Sicherheitslücken zu schließen, die in allen auf Android-Geräten. Android-Partnern sollten alle Probleme und verwende den aktuellen Stand der Sicherheitsupdates.
- Geräte, die den Sicherheitspatch-Level vom 01.03.2024 verwenden muss alle Probleme im Zusammenhang mit diesem Sicherheitspatch-Level sowie als Fehlerkorrekturen für alle Probleme, die in früheren Sicherheitsbulletins gemeldet wurden.
- Geräte, die das Sicherheitspatch-Level vom 05.03.2024 verwenden oder höher muss alle anwendbaren Patches in dieser (und früheren) Sicherheitsmaßnahme enthalten Bulletins.
Partnern wird empfohlen, die Lösungen für alle Probleme, die sie betreffen, bündeln zu lassen. mit einem einzigen Update zu beheben.
3. Was bedeuten die Einträge in der Spalte Typ?
Einträge in der Spalte Typ der Tabelle mit den Details zu Sicherheitslücken Klassifizierung der Sicherheitslücke.
| Abkürzung | Definition |
|---|---|
| RCE | Codeausführung per Fernzugriff |
| EOP | Rechteausweitung |
| ID | Offenlegung von Informationen |
| DoS | Denial of Service |
| – | Klassifizierung nicht verfügbar |
4. Was bedeuten die Einträge in der Spalte Referenzen?
Einträge in der Spalte Referenzen der Details zu Sicherheitslücken kann ein Präfix enthalten, das die Organisation angibt, für die der Referenz gehört.
| Präfix | Verweise |
|---|---|
| A- | Android-Programmfehler-ID |
| Qualitätskontrolle- | Qualcomm-Referenznummer |
| Mo– | MediaTek-Referenznummer |
| N- | NVIDIA-Referenznummer |
| B- | Broadcom-Referenznummer |
| U- | UNISOC-Referenznummer |
5. Was bedeutet ein * neben der Android-Fehler-ID in den Referenzen? Spaltenmittelwert?
Probleme, die nicht öffentlich verfügbar sind, sind mit einem * neben dem entsprechenden Referenz-ID. Das Update für dieses Problem befindet sich in der Regel in der aktuellen binäre Treiber für Pixel-Geräte, Google Entwicklerwebsite.
6. Warum sind Sicherheitslücken zwischen diesem Bulletin und Geräte-/Partner-Sicherheitsbulletins wie die Pixel-Bulletin?
Die in diesem Sicherheitsbulletin dokumentierten Sicherheitslücken sind erforderlich, um das neueste Sicherheitspatch-Level für Android zu deklarieren Geräte. Weitere Sicherheitslücken, die in der Geräte-/Partner-Sicherheitsbulletins sind nicht erforderlich für Sicherheitspatch-Level deklarieren. Hersteller von Android-Geräten und Chipsätzen produktspezifische Details zu Sicherheitslücken veröffentlichen, zum Beispiel Google Huawei LGE Motorola Nokia, oder Samsung.
Versionen
| Version | Datum | Hinweise |
|---|---|---|
| 1.0 | 4. März 2024 | Bulletin veröffentlicht. |
| 1,1 | 29. Juli 2024 | Die CVE-Tabellen wurden aktualisiert. |