Sicherheitsbulletin für Android – August 2024

Veröffentlicht am 5. August 2024

Das Android-Sicherheitsbulletin enthält Details zur Sicherheit Sicherheitslücken bei Android-Geräten. Stand der Sicherheitsupdates 2024-08-05 oder später, um alle diese Probleme zu beheben. Weitere Informationen Informationen zum Stand der Sicherheitsupdates eines Geräts finden Sie unter Scheck und aktualisieren Sie Ihre Android-Version.

Android-Partner werden mindestens einen Monat über alle Probleme benachrichtigt . Quellcode-Patches für diese Probleme werden im Repository des Android Open Source Project (AOSP) veröffentlicht, in den nächsten 48 Stunden. Wir werden dieses Bulletin mit dem AOSP überarbeiten. wenn sie verfügbar sind.

Das schwerwiegendste Problem ist ein hohes Schwachstelle in der Framework-Komponente, die zu einer lokalen Rechteausweitung ohne zusätzliche Ausführungsberechtigungen erforderlich. Die Schweregrad basiert auf den Auswirkungen dass die Ausnutzung der Sicherheitslücke betroffene Geräte unter der Annahme der Plattform- und Dienstminderung zu Entwicklungszwecken deaktiviert wurden oder umgangen werden.

Weitere Informationen finden Sie im Artikel Android und Google Play Im Abschnitt „Schutzmaßnahmen“ finden Sie Details zur Android-Sicherheit Plattformschutz und Google Play Protect, die Sicherheit der Android-Plattform.

Android und Schutzmaßnahmen für Google-Dienste

Dies ist eine Zusammenfassung der Maßnahmen, die vom Android-Sicherheitsteam Plattform- und Dienstschutz wie Google Play Protect. Diese Funktionen die Wahrscheinlichkeit von Sicherheitslücken, erfolgreich auf Android ausgenutzt werden könnte.

  • Die Ausnutzung vieler Probleme unter Android wird verstärkt durch Verbesserungen in neueren Versionen des Android-Betriebssystems Plattform. Wir empfehlen allen Nutzern, auf die neueste Version Android-Version.
  • Das Android-Sicherheitsteam sucht aktiv nach Missbrauch. über Google Play Protect Nutzer über potenziell schädliche Apps informieren. Google Play Protect ist auf Geräten mit Google Mobile-Diensten standardmäßig aktiviert und gilt insbesondere wichtig für Nutzer, die Apps von außerhalb von Google installieren Spielen.
<ph type="x-smartling-placeholder">

01.08.2024 – Details zu Sicherheitslücken im Sicherheitspatch-Level

In den folgenden Abschnitten finden Sie Details zu den Sicherheitslücken durch den Patch vom 01.08.2024 Sicherheitslücken sind unter der jeweiligen Komponente auswirken können. Probleme sind in den folgenden Tabellen beschrieben und umfassen CVEs (Common Vulnerabilities and Exposures) ID, zugehörige Referenzen, Art der Sicherheitslücke severity und aktualisierte AOSP-Versionen (wobei zutreffend). Sofern verfügbar, verlinken wir die öffentliche Änderung, das Problem auf die Bug-ID (z. B. die AOSP-Änderungsliste) hinweist. Wenn sich mehrere Änderungen auf einen einzelnen Fehler beziehen, werden zusätzliche Referenzen sind mit Nummern verknüpft, die auf die Fehler-ID folgen. Geräte Android 10 und höher erhalten möglicherweise Sicherheitsupdates sowie Google Play-Systemupdates

Framework

Die größte Sicherheitslücke in kann dieser Abschnitt zu einer lokalen Rechteausweitung führen, zusätzliche Ausführungsberechtigungen.

CVE Referenzen Typ Wichtigkeit Aktualisierte AOSP-Versionen
CVE-2023-20971 A 225880325 EOP Hoch 12, 12L, 13, 14
CVE-2023-21351 A 232798676 EOP Hoch 12, 12L, 13
CVE-2024-34731 A 319210610 [2] [3] [4] [5] EOP Hoch 12, 12L, 13, 14
CVE-2024-34734 A 304772709 EOP Hoch 13, 14
CVE-2024-34735 A 336490997 EOP Hoch 12, 12L, 13
CVE-2024-34737 A 283103220 EOP Hoch 12, 12L, 13, 14
CVE-2024-34738 A 336323279 EOP Hoch 13, 14
CVE-2024-34739 A 294105066 EOP Hoch 12, 12L, 13, 14
CVE-2024-34740 A 307288067 [2] EOP Hoch 12, 12L, 13, 14
CVE-2024-34741 A 318683640 EOP Hoch 12, 12L, 13, 14
CVE-2024-34743 A 336648613 EOP Hoch 14
CVE-2024-34736 A 288549440 ID Hoch 12, 12L, 13, 14
CVE-2024-34742 A 335232744 DoS Hoch 14

System

Die Sicherheitslücke in diesem Abschnitt zu einer Remote-Offenlegung von Informationen führen, ohne dass Ausführungsberechtigungen erforderlich.

CVE Referenzen Typ Wichtigkeit Aktualisierte AOSP-Versionen
CVE-2024-34727 A 287184435 ID Hoch 12, 12L, 13, 14

Google Play-System Aktualisierungen

Im Google Play-System wurden keine Sicherheitsprobleme behoben (Project Mainline) aktualisiert.

05.08.2024 – Details zu Sicherheitslücken im Sicherheitspatch-Level

In den folgenden Abschnitten finden Sie Details zu den Sicherheitslücken durch den Patch vom 05.08.2024 Sicherheitslücken sind unter der jeweiligen Komponente auswirken können. Probleme sind in den folgenden Tabellen beschrieben und umfassen CVEs (Common Vulnerabilities and Exposures) ID, zugehörige Referenzen, Art der Sicherheitslücke severity und aktualisierte AOSP-Versionen (wobei zutreffend). Sofern verfügbar, verlinken wir die öffentliche Änderung, das Problem auf die Bug-ID (z. B. die AOSP-Änderungsliste) hinweist. Wenn sich mehrere Änderungen auf einen einzelnen Fehler beziehen, werden zusätzliche Referenzen sind mit Nummern verknüpft, die auf die Fehler-ID folgen.

Kernel

Die Sicherheitslücke in diesem Abschnitt kann zu einer Remote-Codeausführung mit Systemausführung führen, Berechtigungen erforderlich.

CVE Referenzen Typ Wichtigkeit Unterkomponente
CVE-2024-36971 A 343727534
Upstream-Kernel [2] [3] [4] [5] [6] [7] [8] [9] [10] [11]
RCE Hoch Kernel

Armkomponenten

Diese Sicherheitslücken betreffen Arm-Komponenten Weitere Informationen erhalten Sie direkt in ARM. Die Bewertung des Schweregrads wird direkt von Arm bereitgestellt.

CVE Referenzen Wichtigkeit Unterkomponente
CVE-2024-2937
A-339866012 * Hoch Mali
CVE-2024-4607
A-339869945 * Hoch Mali

Fantasietechnologien

Diese Sicherheitslücke betrifft Komponenten von Imagination Technologies. und weitere Details erhalten Sie direkt bei Imagination. Technologien. Die Bewertung des Schweregrads dieses Problems ist angegeben direkt von Imagination Technologies.

CVE Referenzen Wichtigkeit Unterkomponente
CVE-2024-31333
A-331435657 * Hoch PowerVR-GPU

MediaTek-Komponenten

Diese Sicherheitslücke betrifft MediaTek-Komponenten Details erhalten Sie direkt bei MediaTek. Der Schweregrad Die Einschätzung erfolgt direkt durch MediaTek.

CVE Referenzen Wichtigkeit Unterkomponente
CVE-2024-20082
A-344434139
M-MOLY01182594 *
Hoch Modem

Qualcomm-Komponenten

Diese Sicherheitslücken betreffen Qualcomm-Komponenten in der entsprechenden Qualcomm-Sicherheitsseite oder Sicherheitswarnung. Die Bewertung des Schweregrads wird direkt von Qualcomm bereitgestellt.

CVE Referenzen Wichtigkeit Unterkomponente
CVE-2024-21478
A-323926460
QC-CR#3594987
Hoch Anzeige
CVE-2024-23381
A-339043781
QC-CR#3701594 [2]
Hoch Anzeige
CVE-2024-23382
A-339043615
QC-CR#3704061 [2]
Hoch Anzeige
CVE-2024-23383
A-339042492
QC-CR#3707659
Hoch Anzeige
CVE-2024-23384 A-339043323
QC-CR#3704870 [2] [3] [4]
Hoch Anzeige
CVE-2024-33010
A-339043396
QC-CR#3717571
Hoch WLAN
CVE-2024-33011
A-339043727
QC-CR#3717567
Hoch WLAN
CVE-2024-33012
A-339043053
QC-CR#3717566
Hoch WLAN
CVE-2024-33013
A-339042691
QC-CR#3710085
Hoch WLAN
CVE-2024-33014
A-339043382
QC-CR#3710081
Hoch WLAN
CVE-2024-33015 A-339043107
QC-CR#3710080
Hoch WLAN
CVE-2024-33018
A-339043500
QC-CR#3704796
Hoch WLAN
CVE-2024-33019
A-339043783
QC-CR#3704794
Hoch WLAN
CVE-2024-33020
A-339043480
QC-CR#3704762
Hoch WLAN
CVE-2024-33023
A-339043278
QC-CR#3702019 [2]
Hoch Anzeige
CVE-2024-33024
A-339043270
QC-CR#3700072
Hoch WLAN
CVE-2024-33025
A-339042969
QC-CR#3700045
Hoch WLAN
CVE-2024-33026
A-339043880
QC-CR#3699954
Hoch WLAN
CVE-2024-33027
A-316373168
QC-CR#3697522
Hoch Anzeige
CVE-2024-33028
A-339043463
QC-CR#3694338
Hoch Anzeige

Geschlossene Quelle von Qualcomm Komponenten

Diese Sicherheitslücken betreffen Closed-Source-Komponenten von Qualcomm. und werden in der entsprechenden Qualcomm-Hilfe Sicherheitsbulletin oder eine Sicherheitswarnung. Die Bewertung des Schweregrads Diese Probleme werden direkt von Qualcomm zur Verfügung gestellt.

CVE Referenzen Wichtigkeit Unterkomponente
CVE-2024-23350
A-323919259 * Kritisch Closed-Source-Komponente
CVE-2024-21481
A-323918669 * Hoch Closed-Source-Komponente
CVE-2024-23352
A-323918787 * Hoch Closed-Source-Komponente
CVE-2024-23353
A-323918845 * Hoch Closed-Source-Komponente
CVE-2024-23355
A-323918338 * Hoch Closed-Source-Komponente
CVE-2024-23356
A-323919081 * Hoch Closed-Source-Komponente
CVE-2024-23357
A-323919249 * Hoch Closed-Source-Komponente

Häufige Fragen und Antworten

In diesem Abschnitt finden Sie Antworten auf häufig gestellte Fragen, zum Lesen dieses Bulletins.

1. Wie finde ich heraus, ob mein Gerät auf diese Probleme zu beheben?

Informationen zum Prüfen des Sicherheitspatch-Levels eines Geräts finden Sie unter Android-Gerät prüfen und aktualisieren .

  • Sicherheitspatch-Level ab 01.08.2024 berücksichtigen alle Probleme im Zusammenhang mit dem Sicherheitspatch vom 01.08.2024
  • Die Sicherheitspatch-Level ab 05.08.2024 beziehen sich auf alle Probleme im Zusammenhang mit dem Sicherheitspatch-Level vom 05.08.2024 und alle vorherigen Patch-Levels.

Gerätehersteller, die diese Updates anbieten, sollten die Patch-String-Ebene in:

  • [ro.build.version.security_patch]:[01.08.2024]
  • [ro.build.version.security_patch]:[05.08.2024]

Auf einigen Geräten mit Android 10 oder höher werden die Systemupdate hat einen Datumsstring, der mit dem 01.08.2024 übereinstimmt. Stand der Sicherheitsupdates. Weitere Informationen finden Sie in diesem Artikel. wie Sie Sicherheitsupdates installieren.

2. Warum enthält dieses Bulletin zwei Sicherheitspatches? Leveln?

Dieses Bulletin enthält zwei Sicherheitspatch-Levels, können Partner flexibel bestimmte Sicherheitslücken beheben, die auf allen Android-Geräten ähnlich sind. Android-Geräte Partner werden ermutigt, alle in diesem Bulletin genannten Probleme zu beheben und den neuesten Sicherheitspatch-Level verwenden.

  • Geräte, die den Sicherheitspatch-Level vom 01.08.2024 verwenden, müssen alle Probleme im Zusammenhang mit diesem Sicherheitspatch-Level, sowie Fehlerkorrekturen für alle Probleme, die in den vorherigen Sicherheitseinstellungen gemeldet wurden, Bulletins.
  • Geräte mit dem Sicherheitspatch-Level vom 05.08.2024 oder neuer muss alle anwendbaren Patches in dieser Datei enthalten (und vorherigen) Sicherheitsbulletins.

Partner sollten die Fehlerbehebungen für alle Probleme bündeln die sie in einem einzigen Update beheben müssen.

3. Was bewirken die Einträge in der Spalte Typ

Einträge in der Spalte Typ der Sicherheitslücke Detailtabelle bezieht sich auf die Klassifizierung des Werts eine Sicherheitslücke.

Abkürzung Definition
RCE Codeausführung per Fernzugriff
EOP Rechteausweitung
ID Offenlegung von Informationen
DoS Denial of Service
Klassifizierung nicht verfügbar

4. Was bedeuten die Einträge in den Referenzen? Spaltenmittelwert?

Einträge in der Spalte Referenzen des Die Tabelle mit den Details zu Sicherheitslücken Organisation, zu der der Referenzwert gehört.

Präfix Verweise
A- Android-Programmfehler-ID
Qualitätskontrolle- Qualcomm-Referenznummer
Mo– MediaTek-Referenznummer
N- NVIDIA-Referenznummer
B- Broadcom-Referenznummer
U- UNISOC-Referenznummer

5. Was bedeutet ein * neben der Android-Programmfehler-ID im Verweise?

Probleme, die nicht öffentlich verfügbar sind, sind mit einem * neben dem zugehörige Referenz-ID. Das Update für dieses Problem in der Regel in den neuesten Binärtreibern für Pixel enthalten, verfügbaren Geräte in der Google Developers-Website.

6. Warum werden Sicherheitslücken Bulletin und Geräte-/Partner-Sicherheitsbulletins wie die Pixel-Bulletin?

In diesem Sicherheitsdokument dokumentierte Sicherheitslücken zur Deklaration des aktuellen Sicherheitspatch-Levels erforderlich sind. auf Android-Geräten. Weitere Sicherheitslücken, die in den Sicherheitsbulletins für Geräte / Partner dokumentiert sind, für die Angabe eines Sicherheitspatch-Levels erforderlich. Android-Gerät und Chipsatzhersteller können auch Sicherheitslücken veröffentlichen, produktspezifische Details wie Google, Huawei, LGE, Motorola, Nokia oder Samsung.

Versionen

Version Datum Hinweise
1.0 5. August 2024 Bulletin veröffentlicht.