Boletim de segurança do Android: agosto de 2024

Publicado em 5 de agosto de 2024

O boletim de segurança do Android contém detalhes de segurança vulnerabilidades que afetam dispositivos Android. Níveis do patch de segurança de 05/08/2024 ou depois disso. Para saber como para verificar o nível do patch de segurança do dispositivo, consulte Cheque e atualize a versão do Android.

Os parceiros Android são notificados sobre todos os problemas por pelo menos um mês antes da publicação. Os patches de código-fonte para esses problemas serão lançado no repositório do Android Open Source Project (AOSP) em nas próximas 48 horas. Vamos revisar este boletim com a versão do AOSP quando eles estiverem disponíveis.

O mais grave deles é uma alta insuficiência de no componente Framework que poderia levar a problemas escalonamento de privilégios sem privilégios de execução adicionais necessários. A gravidade avaliação é baseada no efeito que a exploração da vulnerabilidade teria em um dispositivo afetado, supondo que as mitigações de plataforma e serviço desativados para fins de desenvolvimento ou, se forem bem-sucedidos pode ser ignorado.

Consulte os artigos da Central de Ajuda Seção "Proteger mitigações" para ver detalhes sobre a segurança do Android de plataforma e o Google Play Protect, que melhoram pela segurança da plataforma Android.

Android e Mitigações de Serviços do Google

Este é um resumo das mitigações oferecidas pelo Certificado de proteções de plataforma e serviço, como o Google Play Protect. Esses reduz a probabilidade de as vulnerabilidades de segurança poderiam ser exploradas com sucesso no Android.

  • A exploração de muitos problemas no Android fica cada vez mais as melhorias nas versões mais recentes do Android de plataforma. Recomendamos que todos os usuários atualizem para a versão mais recente do Android sempre que possível.
  • A equipe de segurança do Android monitora ativamente abusos pelo Google Play Protect e avisa os usuários sobre aplicativos potencialmente nocivos. Google O Play Protect é ativado por padrão em dispositivos com os Serviços do Google Mobile e é especialmente importante para usuários que instalam apps de fora do Google Google Play.
.

Detalhes da vulnerabilidade do nível do patch de segurança de 01/08/2024

Nas seções abaixo, fornecemos detalhes para cada um dos vulnerabilidades de segurança que se aplicam ao patch de 01/08/2024 nível As vulnerabilidades são agrupadas no componente afetar. Os problemas são descritos nas tabelas abaixo e incluem o CVE ID, referências associadas, tipo de vulnerabilidade, gravidade, e versões atualizadas do AOSP (em que aplicável). Quando disponível, vinculamos a mudança pública que abordou o problema com o ID do bug, como a lista de mudanças do AOSP. Quando várias alterações estão relacionadas a um único bug, são vinculadas a números após o ID do bug. Dispositivos com o Android 10 e versões mais recentes, podem receber atualizações de segurança Atualizações do sistema do Google Play.

Framework

A vulnerabilidade mais grave da nessa seção pode levar a um escalonamento local de privilégios sem são necessários privilégios de execução adicionais.

CVE Referências Tipo Gravidade Versões atualizadas do AOSP
CVE-2023-20971 A-225880325 (link em inglês) Fim do dia Alta 12, 12L, 13 e 14
CVE-2023-21351 A-232798676 (link em inglês) Fim do dia Alta 12, 12L e 13
CVE-2024-34731 A-319210610 (link em inglês) [2] [3] [4] [5] Fim do dia Alta 12, 12L, 13 e 14
CVE-2024-34734 A-304772709 (link em inglês) Fim do dia Alta 13 e 14
CVE-2024-34735 A-336490997 (link em inglês) Fim do dia Alta 12, 12L e 13
CVE-2024-34737 A-283103220 (link em inglês) Fim do dia Alta 12, 12L, 13 e 14
CVE-2024-34738 A-336323279 (link em inglês) Fim do dia Alta 13 e 14
CVE-2024-34739 A-294105066 (link em inglês) Fim do dia Alta 12, 12L, 13 e 14
CVE-2024-34740 A-307288067 (link em inglês) [2] Fim do dia Alta 12, 12L, 13 e 14
CVE-2024-34741 A-318683640 (link em inglês) Fim do dia Alta 12, 12L, 13 e 14
CVE-2024-34743 A-336648613 (link em inglês) Fim do dia Alta 14
CVE-2024-34736 A-288549440 (link em inglês) ID Alta 12, 12L, 13 e 14
CVE-2024-34742 A-335232744 (link em inglês) DoS (DoS) Alta 14

Sistema

A vulnerabilidade descrita nesta seção pode levar à divulgação remota de informações sem a necessidade os privilégios de execução necessários.

CVE Referências Tipo Gravidade Versões atualizadas do AOSP
CVE-2024-34727 A-287184435 (link em inglês) ID Alta 12, 12L, 13 e 14

Sistema do Google Play atualizações

Nenhum problema de segurança foi resolvido no sistema do Google Play atualizações (Projeto Mainline) neste mês.

Detalhes da vulnerabilidade do nível do patch de segurança de 05/08/2024

Nas seções abaixo, fornecemos detalhes para cada um dos vulnerabilidades de segurança que se aplicam ao patch de 05/08/2024 nível As vulnerabilidades são agrupadas no componente afetar. Os problemas são descritos nas tabelas abaixo e incluem o CVE ID, referências associadas, tipo de vulnerabilidade, gravidade, e versões atualizadas do AOSP (em que aplicável). Quando disponível, vinculamos a mudança pública que abordou o problema com o ID do bug, como a lista de mudanças do AOSP. Quando várias alterações estão relacionadas a um único bug, são vinculadas a números após o ID do bug.

Kernel

A vulnerabilidade descrita nesta seção pode levar à execução remota de códigos com a execução do sistema os privilégios necessários.

CVE Referências Tipo Gravidade Subcomponente
CVE-2024-36971 A-343727534
Kernel upstream [2] [3] [4] [5] [6] [7] [8] [9] [10] [11]
RCE Alta Kernel

Componentes do braço

Essas vulnerabilidades afetam os componentes do Arm os detalhes estão disponíveis diretamente no Arm. Avaliação de gravidade desses problemas é fornecido diretamente pela Arm.

CVE Referências Gravidade Subcomponente
CVE-2024-2937
A-339866012 * Alta Mali
CVE-2024-4607
A-339869945 * Alta Mali

Tecnologias de imaginação

Essa vulnerabilidade afeta componentes da Imagination Technologies e mais detalhes estão disponíveis diretamente na Imagination Tecnologias da nuvem. A avaliação da gravidade desse problema é fornecida diretamente da Imagination Technologies.

CVE Referências Gravidade Subcomponente
CVE-2024-31333
A-331435657 * Alta PowerVR-GPU

Componentes do MediaTek

Essa vulnerabilidade afeta os componentes do MediaTek e outros os detalhes estão disponíveis diretamente na MediaTek. A gravidade a avaliação desse problema é fornecida diretamente pela MediaTek.

CVE Referências Gravidade Subcomponente
CVE-2024-20082
A-344434139
M-MOLY01182594 *
Alta Modem

Componentes da Qualcomm

Essas vulnerabilidades afetam os componentes da Qualcomm e descritos em mais detalhes nas seções de segurança da Qualcomm boletim informativo ou alerta de segurança. A avaliação da gravidade problemas são fornecidos diretamente pela Qualcomm.

CVE Referências Gravidade Subcomponente
CVE-2024-21478
A-323926460
QC-CR#3594987
Alta Tela
CVE-2024-23381
A-339043781
QC-CR#3701594 [2]
Alta Tela
CVE-2024-23382
A-339043615
QC-CR#3704061 [2]
Alta Tela
CVE-2024-23383
A-339042492
QC-CR#3707659
Alta Tela
CVE-2024-23384 A-339043323
QC-CR#3704870 [2] [3] [4]
Alta Tela
CVE-2024-33010
A-339043396
QC-CR#3717571
Alta WLAN
CVE-2024-33011
A-339043727
QC-CR#3717567
Alta WLAN
CVE-2024-33012
A-339043053
QC-CR#3717566
Alta WLAN
CVE-2024-33013
A-339042691
QC-CR#3710085
Alta WLAN
CVE-2024-33014
A-339043382
QC-CR#3710081
Alta WLAN
CVE-2024-33015 A-339043107
QC-CR#3710080
Alta WLAN
CVE-2024-33018
A-339043500
QC-CR#3704796
Alta WLAN
CVE-2024-33019
A-339043783
QC-CR#3704794
Alta WLAN
CVE-2024-33020
A-339043480
QC-CR#3704762
Alta WLAN
CVE-2024-33023
A-339043278
QC-CR#3702019 [2]
Alta Tela
CVE-2024-33024
A-339043270
QC-CR#3700072
Alta WLAN
CVE-2024-33025
A-339042969
QC-CR#3700045
Alta WLAN
CVE-2024-33026
A-339043880
QC-CR#3699954
Alta WLAN
CVE-2024-33027
A-316373168
QC-CR#3697522
Alta Tela
CVE-2024-33028
A-339043463
QC-CR#3694338
Alta Tela

Código fechado da Qualcomm componentes

Essas vulnerabilidades afetam os componentes de código fechado da Qualcomm e são descritos em mais detalhes nas páginas da Qualcomm boletim ou alerta de segurança. A avaliação da gravidade esses problemas são fornecidos diretamente pela Qualcomm.

CVE Referências Gravidade Subcomponente
CVE-2024-23350
A-323919259 * Critical Componente de código fechado
CVE-2024-21481
A-323918669 * Alta Componente de código fechado
CVE-2024-23352
A-323918787 * Alta Componente de código fechado
CVE-2024-23353
A-323918845 * Alta Componente de código fechado
CVE-2024-23355
A-323918338 * Alta Componente de código fechado
CVE-2024-23356
(em inglês)
A-323919081 * Alta Componente de código fechado
CVE-2024-23357
A-323919249 * Alta Componente de código fechado

Perguntas comuns e respostas

Esta seção responde a perguntas comuns que podem ocorrer após lendo este boletim.

1. Como determino se meu dispositivo está atualizado para resolver esses problemas?

Para aprender a verificar o nível do patch de segurança de um dispositivo, consulte Verifique e atualize seu Android versão.

  • Os níveis de patch de segurança de 01/08/2024 ou mais recente atendem a todos problemas associados ao patch de segurança de 01/08/2024 nível
  • Os níveis de patch de segurança de 05/08/2024 ou mais recente atendem a todos problemas associados ao nível do patch de segurança de 05/08/2024 e todos os níveis de patch anteriores.

Os fabricantes de dispositivos que incluem essas atualizações devem definir os de nível da string de patch para:

  • [ro.build.version.security_patch]:[2024-08-01]
  • [ro.build.version.security_patch]:[2024-08-05]

Em alguns dispositivos com o Android 10 ou versões mais recentes, o Google Play a atualização do sistema vai ter uma string de data igual a 01/08/2024 nível do patch de segurança. Consulte este artigo para mais detalhes sobre como instalar atualizações de segurança.

2. Por que este boletim tem dois patches de segurança níveis?

Este boletim tem dois níveis de patch de segurança para que o Android os parceiros têm flexibilidade para corrigir um subconjunto de vulnerabilidades semelhantes em todos os dispositivos Android mais rapidamente. Android os parceiros são encorajados a corrigir todos os problemas neste boletim e use o nível mais recente do patch de segurança.

  • Os dispositivos que usam o nível do patch de segurança de 01/08/2024 precisam incluir todos os problemas associados ao nível do patch de segurança, bem como correções de todos os problemas relatados em relatórios de segurança boletins informativos.
  • Dispositivos que usam o nível de patch de segurança 05/08/2024 ou mais recentes devem incluir todos os patches aplicáveis neste (e anteriores) de segurança.

Incentivamos os parceiros a agrupar as correções de todos os problemas. que eles estão resolvendo em uma única atualização.

3. O que as entradas na coluna Tipo significa?

Entradas na coluna Tipo da vulnerabilidade de dados referem-se à classificação da estrutura a vulnerabilidade.

Abreviatura Definição
RCE Execução remota de código
Fim do dia Elevação do privilégio
ID Divulgação de informações
DoS (DoS) Negação de serviço
N/A Classificação indisponível

4. O que as entradas nas Referências média da coluna?

Entradas na coluna Referências do a tabela de detalhes da vulnerabilidade pode conter um prefixo que identifica organização à qual o valor de referência pertence.

Prefixo Referência
A- ID do bug do Android
Controle de qualidade Número de referência da Qualcomm
M- Número de referência da MediaTek
N Número de referência da NVIDIA
B- Número de referência Broadcom
de Número de referência do UNISOC

5. O que faz um * ao lado do ID de bug do Android na References?

Os problemas que não estiverem disponíveis publicamente terão um * ao lado do ID de referência correspondente. A atualização desse problema incluídos nos drivers binários mais recentes do Pixel dispositivos disponíveis no Site para desenvolvedores do Google.

6. Por que as vulnerabilidades de segurança estão divididas entre isso e boletins informativos de dispositivos / parceiros, como Boletim do Pixel?

Vulnerabilidades de segurança documentadas neste documento precisam declarar o nível mais recente do patch de segurança em dispositivos Android. Outras vulnerabilidades de segurança que são documentadas nos boletins de segurança de dispositivos / parceiros não são necessária para declarar um nível de patch de segurança. dispositivo Android e os fabricantes de chipsets também podem publicar vulnerabilidades detalhes específicos dos produtos da empresa, como Google, Huawei, LGE, Motorola, Nokia ou Samsung.

Versões

Versão Data Observações
1.0 5 de agosto de 2024 Boletim publicado.