Biuletyn na temat bezpieczeństwa Androida – sierpień 2024 r.

Opublikowano 5 sierpnia 2024 r. | Zaktualizowano 24 października 2024 r.

Biuletyn o zabezpieczeniach Androida zawiera szczegółowe informacje o lukach w zabezpieczeniach, które dotyczą urządzeń z Androidem. Poziomy poprawek zabezpieczeń z 2024-08-05 lub nowsze rozwiązują wszystkie te problemy. Aby dowiedzieć się, jak sprawdzić poziom zabezpieczeń urządzenia, przeczytaj artykuł Sprawdzanie i aktualizowanie wersji Androida.

Partnerzy Androida są powiadamiani o wszystkich problemach co najmniej miesiąc przed publikacją. Poprawki w źródle kodu dotyczące tych problemów zostaną udostępnione w repozytorium Projektu Android Open Source (AOSP) w ciągu 48 godzin. Gdy linki do AOSP będą dostępne, zaktualizujemy to ogłoszenie.

Najpoważniejszym z tych problemów jest luka w zabezpieczeniach w komponencie Framework, która może prowadzić do lokalnego podwyższenia uprawnień bez konieczności uzyskania dodatkowych uprawnień do wykonywania. Ocena poziomu zagrożenia jest oparta na wpływie, jaki wykorzystanie luki w zabezpieczeniach może mieć na urządzeniu docelowym, przy założeniu, że środki zaradcze platformy i usługi są wyłączone na potrzeby programistyki lub że zostały pomyślnie obejrzone.

Szczegółowe informacje o zabezpieczeniach Androida i Google Play Protect na platformie zabezpieczeń oraz o Google Play Protect, które zwiększają bezpieczeństwo platformy Androida, znajdziesz w sekcji dotyczącej złagodzeń związanych z Androidem i Google Play Protect.

Środki zaradcze dotyczące usług Google i Androida

Oto podsumowanie środków zapobiegawczych oferowanych przez platformę zabezpieczeń Androida oraz zabezpieczenia usług, takich jak Google Play Protect. Te funkcje zmniejszają prawdopodobieństwo wykorzystania luk w zabezpieczeniach na Androidzie.

  • Wykorzystanie wielu luk w Androidzie jest utrudnione dzięki ulepszeniom w nowszych wersjach tej platformy. Zachęcamy wszystkich użytkowników do zaktualizowania Androida do najnowszej wersji, o ile to możliwe.
  • Zespół ds. zabezpieczeń Androida aktywnie monitoruje przypadki nadużyć za pomocą Google Play Protect i ostrzega użytkowników o potencjalnie szkodliwych aplikacjach. Google Play Protect jest domyślnie włączona na urządzeniach z Usługami mobilnymi Google i jest szczególnie ważna dla użytkowników, którzy instalują aplikacje spoza Google Play.

Szczegóły luki w zabezpieczeniach na poziomie poprawki zabezpieczeń z 2024-08-01

W poniższych sekcjach znajdziesz szczegółowe informacje o każdej lukie w zabezpieczeniach, które ma zastosowanie do aktualizacji z 1 sierpnia 2024 r. Wrażliwości są grupowane według komponentu, którego dotyczą. Problemy są opisane w tabelach poniżej i obejmują identyfikator CVE, powiązane odniesienia, typ luki, powagę oraz zaktualizowane wersje AOSP (w stosownych przypadkach). W razie możliwości łączymy publiczną zmianę, która rozwiązała problem, z identyfikatorem błędu, np. z listą zmian w AOSP. Jeśli pojedynczy błąd dotyczy wielu zmian, dodatkowe odniesienia są połączone z liczbami po identyfikatorze błędu. Urządzenia z Androidem 10 lub nowszym mogą otrzymywać aktualizacje zabezpieczeń oraz aktualizacje systemowe Google Play.

Platforma

Najpoważniejsza luka w zabezpieczeniach w tej sekcji może prowadzić do lokalnego podwyższenia uprawnień bez potrzeby uzyskania dodatkowych uprawnień do wykonywania.

CVE Pliki referencyjne Typ Poziom Zaktualizowane wersje AOSP
CVE-2023-20971 A-225880325 eksploatacja Wysoki 12, 12L, 13, 14
CVE-2023-21351 A-232798676 eksploatacja Wysoki 12, 12L, 13
CVE-2024-34731 A-319210610 [2] [3] [4] [5] EoP Wysoki 12, 12L, 13, 14
CVE-2024-34734 A-304772709 EoP Wysoki 13, 14
CVE-2024-34735 A-336490997 EoP Wysoki 12, 12L, 13
CVE-2024-34737 A-283103220 EoP Wysoki 12, 12 l, 13, 14
CVE-2024-34738 A-336323279 EoP Wysoki 13, 14
CVE-2024-34740 A-307288067 [2] EoP Wysoki 12, 12L, 13, 14
CVE-2024-34741 A-318683640 EoP Wysoki 12, 12 l, 13, 14
CVE-2024-34743 A-336648613 EoP Wysoki 14
CVE-2024-34736 A-288549440 ID Wysoki 12, 12L, 13, 14
CVE-2024-34742 A-335232744 DoS Wysoki 14

System

W tym rozdziale opisano podatność, która może prowadzić do zdalnego ujawnienia informacji bez konieczności posiadania dodatkowych uprawnień do wykonywania.

CVE Pliki referencyjne Typ Poziom Zaktualizowane wersje AOSP
CVE-2024-34727 A-287184435 ID Wysoki 12, 12L, 13, 14

Aktualizacje systemu Google Play

W tym miesiącu w ramach aktualizacji systemu Google Play (Project Mainline) nie rozwiązywaliśmy żadnych problemów z bezpieczeństwem.

Szczegóły luki w zabezpieczeniach w poziomie aktualizacji zabezpieczeń z 2024-08-05

W poniższych sekcjach znajdziesz szczegółowe informacje o lukach w zabezpieczeniach, które występują na poziomie poprawek z 5 września 2024 r. Wrażliwości są grupowane według komponentu, którego dotyczą. Problemy są opisane w tabelach poniżej i obejmują identyfikator CVE, powiązane odniesienia, typ luki, powagę oraz zaktualizowane wersje AOSP (w stosownych przypadkach). W razie możliwości łączymy publiczną zmianę, która rozwiązała problem, z identyfikatorem błędu, np. z listą zmian w AOSP. Jeśli pojedynczy błąd dotyczy wielu zmian, dodatkowe odniesienia są połączone z liczbami po identyfikatorze błędu.

Jądro

Luka w zabezpieczeniach podana w tej sekcji może umożliwić zdalne wykonywanie kodu z wymaganymi uprawnieniami do wykonywania systemu.

CVE Pliki referencyjne Typ Poziom Składnik podrzędny
CVE-2024-36971 A-343727534
Kernel upstream [2] [3] [4] [5] [6] [7] [8] [9] [10] [11]
RCE Wysoki Jądro

Komponenty ramienia

Te luki w zabezpieczeniach dotyczą komponentów Arm. Więcej informacji można uzyskać bezpośrednio od firmy Arm. Ocena wagi tych problemów dostarcza bezpośrednio Arm.

CVE Pliki referencyjne Poziom Składnik podrzędny
CVE-2024-2937
A-339866012 * Wysoki Mali
CVE-2024-4607
A-339869945 * Wysoki Mali

Imagination Technologies

Ta luka dotyczy komponentów Imagination Technologies. Więcej informacji można uzyskać bezpośrednio od Imagination Technologies. Ocena powagi tego problemu jest dostarczana bezpośrednio przez Imagination Technologies.

CVE Pliki referencyjne Poziom Składnik podrzędny
CVE-2024-31333
A-331435657 * Wysoki PowerVR-GPU

Komponenty MediaTek

Ta luka dotyczy komponentów MediaTek. Więcej informacji można uzyskać bezpośrednio od MediaTek. Ocena wagi tego problemu jest przekazywana bezpośrednio przez MediaTek.

standard CVE Pliki referencyjne Poziom Składnik podrzędny
CVE-2024-20082
A-344434139
M-MOLY01182594 *
Wysoki Modem

Komponenty Qualcomm

Te luki w zabezpieczeniach dotyczą komponentów Qualcomm i są opisane w szczegółach w odpowiednim biuletynie lub ostrzeżeniu dotyczącym zabezpieczeń Qualcomm. Ocenę ważności tych problemów przeprowadza bezpośrednio firma Qualcomm.

CVE Pliki referencyjne Poziom Składnik podrzędny
CVE-2024-21478
A-323926460
QC-CR#3594987
Wysoki Wyświetlacz
CVE-2024-23381
A-339043781
QC-CR#3701594 [2]
Wysoki Wyświetlacz
CVE-2024-23382
A-339043615
QC-CR#3704061 [2]
Wysoki Wyświetlacz
CVE-2024-23383
A-339042492
QC-CR#3707659
Wysoki Wyświetlacz
CVE-2024-23384 A-339043323
QC-CR#3704870 [2] [3] [4]
Wysoki Wyświetlacz
CVE-2024-33010
A-339043396
QC-CR#3717571
Wysoki WLAN
CVE-2024-33011
A-339043727
QC-CR#3717567
Wysoki WLAN
CVE-2024-33012
A-339043053
QC-CR#3717566
Wysoki WLAN
CVE-2024-33013
A-339042691
QC-CR#3710085
Wysoki WLAN
CVE-2024-33014
A-339043382
QC-CR#3710081
Wysoki WLAN
CVE-2024-33015 A-339043107
QC-CR#3710080
Wysoki WLAN
CVE-2024-33018
A-339043500
QC-CR#3704796
Wysoki WLAN
CVE-2024-33019
A-339043783
QC-CR#3704794
Wysoki WLAN
CVE-2024-33020
A-339043480
QC-CR#3704762
Wysoki WLAN
CVE-2024-33023
A-339043278
QC-CR#3702019 [2]
Wysoki Wyświetlacz
CVE-2024-33024
A-339043270
QC-CR#3700072
Wysoki WLAN
CVE-2024-33025
A-339042969
QC-CR#3700045
Wysoki WLAN
CVE-2024-33026
A-339043880
QC-CR#3699954
Wysoki WLAN
CVE-2024-33027
A-316373168
QC-CR#3697522
Wysoki Wyświetlacz
CVE-2024-33028
A-339043463
QC-CR#3694338
Wysoki Wyświetlacz

Komponenty Qualcomm o zamkniętym kodzie źródłowym

Te luki w zabezpieczeniach dotyczą komponentów Qualcomm ze zamkniętym kodem źródłowym i są opisane bardziej szczegółowo w odpowiednim biuletynie lub ostrzeżeniu dotyczącym zabezpieczeń Qualcomm. Ocena stopnia ważności tych problemów jest dostarczana bezpośrednio przez firmę Qualcomm.

standard CVE Pliki referencyjne Poziom Składnik podrzędny
CVE-2024-23350
A-323919259 * Krytyczny Komponent zamknięty
CVE-2024-21481
A-323918669 * Wysoki Komponent zamknięty
CVE-2024-23352
A-323918787 * Wysoki Komponent typu open source
CVE-2024-23353
A-323918845 * Wysoki Komponent zamknięty
CVE-2024-23355
A-323918338 * Wysoki Komponent zamknięty
CVE-2024-23356
A-323919081 * Wysoki Komponent typu open source
CVE-2024-23357
A-323919249 * Wysoki Komponent typu open source

Najczęstsze pytania i odpowiedzi

W tej sekcji znajdziesz odpowiedzi na najczęstsze pytania, które mogą pojawić się po przeczytaniu biuletynu.

1. Jak sprawdzić, czy moje urządzenie zostało zaktualizowane, aby rozwiązać te problemy?

Informacje o tym, jak sprawdzić stan poprawek zabezpieczeń na urządzeniu, znajdziesz w artykule Sprawdzanie i aktualizowanie wersji Androida.

  • Poziomy aktualizacji zabezpieczeń z 2024-08-01 lub nowsze rozwiązują wszystkie problemy związane z poziomem aktualizacji zabezpieczeń z 2024-08-01.
  • Poziomy aktualizacji zabezpieczeń 2024-08-05 lub nowsze rozwiązują wszystkie problemy związane z poziomem 2024-08-05 oraz wszystkimi poprzednimi poziomami.

Producenci urządzeń, którzy uwzględniają te aktualizacje, powinni ustawić poziom ciągu poprawek na:

  • [ro.build.version.security_patch]:[1.08.2024]
  • [ro.build.version.security_patch]:[2024-08-05]

W przypadku niektórych urządzeń z Androidem 10 lub nowszym aktualizacja systemu Google Play będzie miała ciąg znaków daty odpowiadający poziomowi poprawki zabezpieczeń 2024-08-01. Więcej informacji o instalowaniu aktualizacji zabezpieczeń znajdziesz w tym artykule.

2. Dlaczego w tym komunikacie są 2 poziomy poprawek zabezpieczeń?

W tym komunikacie znajdują się 2 poziomy poprawek zabezpieczeń, dzięki czemu partnerzy Androida mogą szybciej naprawiać podzbiór podatności, które występują na wszystkich urządzeniach z Androidem. Partnerów korzystających z Androida zachęcamy do rozwiązania wszystkich problemów opisanych w tym biuletynie i użycia najnowszej poprawki zabezpieczeń.

  • Urządzenia korzystające z poziomu poprawki zabezpieczeń z 2024-08-01 muszą zawierać wszystkie problemy związane z tym poziomem poprawki zabezpieczeń, a także poprawki wszystkich problemów zgłoszonych w poprzednich biuletynach bezpieczeństwa.
  • Urządzenia z poziomem poprawki zabezpieczeń 2024-08-05 lub nowszym muszą zawierać wszystkie poprawki z tego (i poprzednich) komunikatu bezpieczeństwa.

Zachęcamy partnerów, aby w ramach jednej aktualizacji połączyli poprawki wszystkich problemów, które rozwiązują.

3. Co oznaczają wpisy w kolumnie Typ?

Wpisy w kolumnie Typ w tabeli szczegółów podanego błędu odnoszą się do klasyfikacji błędu.

Skrót Definicja
RCE Wykonywanie kodu zdalnego
eksploatacja Podniesienie uprawnień
ID Ujawnianie informacji
ataki typu DoS Atak typu DoS
Nie dotyczy Klasyfikacja niedostępna

4. Co oznaczają wpisy w kolumnie Pliki referencyjne?

Wpisy w kolumnie Odniesienia w tabeli szczegółów podatności mogą zawierać prefiks identyfikujący organizację, do której należy wartość odniesienia.

Prefiks Źródła wiedzy
A- Identyfikator błędu na Androidzie
QC- Numer referencyjny Qualcomm
M Numer referencyjny MediaTek
N- Numer referencyjny NVIDIA
B- Numer referencyjny Broadcom
U Numer referencyjny UNISOC

5. Co oznacza znak * obok identyfikatora błędu Androida w kolumnie Odniesienia?

Problemy, które są niedostępne publicznie, są oznaczone symbolem * obok odpowiedniego identyfikatora referencyjnego. Aktualizacja dotycząca tego problemu jest zwykle zawarta w najnowszych binarnych sterownikach urządzeń Pixel, które można pobrać na stronie Google Developers.

6. Dlaczego luki w zabezpieczeniach są podzielone między ten biuletyn a biuletyny o zabezpieczeniach urządzeń / partnerów, takie jak biuletyn Pixela?

Aby zadeklarować najnowszy poziom poprawki zabezpieczeń na urządzeniach z Androidem, należy uwzględnić luki w zabezpieczeniach opisane w tym biuletynie. Dodatkowe luki w zabezpieczeniach opisane w komunikatach o zabezpieczeniach urządzenia / partnera nie są wymagane do zadeklarowania poziomu poprawki zabezpieczeń. Producenci urządzeń z Androidem i układów urządzeń z Androidem mogą też publikować szczegółowe informacje o lukach w zabezpieczeniach swoich produktów, np. Google, Huawei, LGE, Motorola, Nokia czy Samsung.

Wersje

Wersja Data Uwagi
1,0 5 sierpnia 2024 r. Biuletyn został opublikowany.
1,1 24 października 2024 r. Zaktualizowana tabela CVE