Das Android-Sicherheitsbulletin enthält Details zur Sicherheit Sicherheitslücken bei Android-Geräten. Stand der Sicherheitsupdates 2024-08-05 oder später, um alle diese Probleme zu beheben. Weitere Informationen Informationen zum Stand der Sicherheitsupdates eines Geräts finden Sie unter Scheck und aktualisieren Sie Ihre Android-Version.
Android-Partner werden mindestens einen Monat über alle Probleme benachrichtigt . Quellcode-Patches für diese Probleme werden im Repository des Android Open Source Project (AOSP) veröffentlicht, in den nächsten 48 Stunden. Wir werden dieses Bulletin mit dem AOSP überarbeiten. wenn sie verfügbar sind.
Das schwerwiegendste Problem ist ein hohes Schwachstelle in der Framework-Komponente, die zu einer lokalen Rechteausweitung ohne zusätzliche Ausführungsberechtigungen erforderlich. Die Schweregrad basiert auf den Auswirkungen dass die Ausnutzung der Sicherheitslücke betroffene Geräte unter der Annahme der Plattform- und Dienstminderung zu Entwicklungszwecken deaktiviert wurden oder umgangen werden.
Weitere Informationen finden Sie im Artikel Android und Google Play Im Abschnitt „Schutzmaßnahmen“ finden Sie Details zur Android-Sicherheit Plattformschutz und Google Play Protect, die Sicherheit der Android-Plattform.
Android und Schutzmaßnahmen für Google-Dienste
Dies ist eine Zusammenfassung der Maßnahmen, die vom Android-Sicherheitsteam Plattform- und Dienstschutz wie Google Play Protect. Diese verringern die Wahrscheinlichkeit, dass Sicherheitslücken erfolgreich auf Android ausgenutzt werden könnte.
- Die Ausnutzung vieler Probleme unter Android wird verstärkt durch Verbesserungen in neueren Versionen des Android-Betriebssystems Plattform. Wir empfehlen allen Nutzern, auf die neueste Version Android-Version.
- Das Android-Sicherheitsteam sucht aktiv nach Missbrauch. über Google Play Protect Nutzer über potenziell schädliche Apps informieren. Google Play Protect ist auf Geräten mit Google Mobile-Diensten standardmäßig aktiviert und gilt insbesondere wichtig für Nutzer, die Apps von außerhalb von Google installieren Spielen.
01.08.2024 – Details zu Sicherheitslücken im Sicherheitspatch-Level
In den folgenden Abschnitten finden Sie Details zu den Sicherheitslücken durch den Patch vom 01.08.2024 Sicherheitslücken sind unter der jeweiligen Komponente auswirken können. Probleme sind in den folgenden Tabellen beschrieben und umfassen CVEs (Common Vulnerabilities and Exposures) ID, zugehörige Referenzen, Art der Sicherheitslücke severity und aktualisierte AOSP-Versionen (wobei zutreffend). Sofern verfügbar, verlinken wir die öffentliche Änderung, das Problem auf die Bug-ID (z. B. die AOSP-Änderungsliste) hinweist. Wenn sich mehrere Änderungen auf einen einzelnen Fehler beziehen, werden zusätzliche Referenzen sind mit Nummern verknüpft, die auf die Fehler-ID folgen. Geräte Android 10 und höher erhalten möglicherweise Sicherheitsupdates sowie Google Play-Systemupdates
Framework
Die größte Sicherheitslücke in kann dieser Abschnitt zu einer lokalen Rechteausweitung führen, zusätzliche Ausführungsberechtigungen.
| CVE | Referenzen | Typ | Wichtigkeit | Aktualisierte AOSP-Versionen |
|---|---|---|---|---|
| CVE-2023-20971 | A 225880325 | EOP | Hoch | 12, 12L, 13, 14 |
| CVE-2023-21351 | A 232798676 | EOP | Hoch | 12, 12L, 13 |
| CVE-2024-34731 | A 319210610 [2] [3] [4] [5] | EOP | Hoch | 12, 12L, 13, 14 |
| CVE-2024-34734 | A 304772709 | EOP | Hoch | 13, 14 |
| CVE-2024-34735 | A 336490997 | EOP | Hoch | 12, 12L, 13 |
| CVE-2024-34737 | A 283103220 | EOP | Hoch | 12, 12L, 13, 14 |
| CVE-2024-34738 | A 336323279 | EOP | Hoch | 13, 14 |
| CVE-2024-34739 | A 294105066 | EOP | Hoch | 12, 12L, 13, 14 |
| CVE-2024-34740 | A 307288067 [2] | EOP | Hoch | 12, 12L, 13, 14 |
| CVE-2024-34741 | A 318683640 | EOP | Hoch | 12, 12L, 13, 14 |
| CVE-2024-34743 | A 336648613 | EOP | Hoch | 14 |
| CVE-2024-34736 | A 288549440 | ID | Hoch | 12, 12L, 13, 14 |
| CVE-2024-34742 | A 335232744 | DoS | Hoch | 14 |
System
Die Sicherheitslücke in diesem Abschnitt zu einer Remote-Offenlegung von Informationen führen, ohne dass Ausführungsberechtigungen erforderlich.
| CVE | Referenzen | Typ | Wichtigkeit | Aktualisierte AOSP-Versionen |
|---|---|---|---|---|
| CVE-2024-34727 | A 287184435 | ID | Hoch | 12, 12L, 13, 14 |
Google Play-System Aktualisierungen
Im Google Play-System wurden keine Sicherheitsprobleme behoben (Project Mainline) aktualisiert.
05.08.2024 – Details zu Sicherheitslücken im Sicherheitspatch-Level
In den folgenden Abschnitten finden Sie Details zu den Sicherheitslücken durch den Patch vom 05.08.2024 Sicherheitslücken sind unter der jeweiligen Komponente auswirken können. Probleme sind in den folgenden Tabellen beschrieben und umfassen CVEs (Common Vulnerabilities and Exposures) ID, zugehörige Referenzen, Art der Sicherheitslücke severity und aktualisierte AOSP-Versionen (wobei zutreffend). Sofern verfügbar, verlinken wir die öffentliche Änderung, das Problem auf die Bug-ID (z. B. die AOSP-Änderungsliste) hinweist. Wenn sich mehrere Änderungen auf einen einzelnen Fehler beziehen, werden zusätzliche Referenzen sind mit Nummern verknüpft, die auf die Fehler-ID folgen.
Kernel
Die Sicherheitslücke in diesem Abschnitt kann zu einer Remote-Codeausführung mit Systemausführung führen, Berechtigungen erforderlich.
| CVE | Referenzen | Typ | Wichtigkeit | Unterkomponente |
|---|---|---|---|---|
| CVE-2024-36971 |
A 343727534 Upstream-Kernel [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] |
RCE | Hoch | Kernel |
Armkomponenten
Diese Sicherheitslücken betreffen Arm-Komponenten Weitere Informationen erhalten Sie direkt in ARM. Die Bewertung des Schweregrads wird direkt von Arm bereitgestellt.
| CVE | Referenzen | Wichtigkeit | Unterkomponente |
|---|---|---|---|
| CVE-2024-2937 |
A-339866012 * | Hoch | Mali |
| CVE-2024-4607 |
A-339869945 * | Hoch | Mali |
Fantasietechnologien
Diese Sicherheitslücke betrifft Komponenten von Imagination Technologies. und weitere Details erhalten Sie direkt bei Imagination. Technologien. Die Bewertung des Schweregrads dieses Problems ist angegeben direkt von Imagination Technologies.
| CVE | Referenzen | Wichtigkeit | Unterkomponente | |
|---|---|---|---|---|
| CVE-2024-31333 |
A-331435657 * | Hoch | PowerVR-GPU |
MediaTek-Komponenten
Diese Sicherheitslücke betrifft MediaTek-Komponenten Details erhalten Sie direkt bei MediaTek. Der Schweregrad Die Einschätzung erfolgt direkt durch MediaTek.
| CVE | Referenzen | Wichtigkeit | Unterkomponente |
|---|---|---|---|
| CVE-2024-20082 |
A-344434139 M-MOLY01182594 * |
Hoch | Modem |
Qualcomm-Komponenten
Diese Sicherheitslücken betreffen Qualcomm-Komponenten in der entsprechenden Qualcomm-Sicherheitsseite oder Sicherheitswarnung. Die Bewertung des Schweregrads wird direkt von Qualcomm bereitgestellt.
| CVE | Referenzen | Wichtigkeit | Unterkomponente |
|---|---|---|---|
| CVE-2024-21478 |
A-323926460 QC-CR#3594987 |
Hoch | Anzeige |
| CVE-2024-23381 |
A-339043781 QC-CR#3701594 [2] |
Hoch | Anzeige |
| CVE-2024-23382 |
A-339043615 QC-CR#3704061 [2] |
Hoch | Anzeige |
| CVE-2024-23383 |
A-339042492 QC-CR#3707659 |
Hoch | Anzeige |
| CVE-2024-23384 |
A-339043323 QC-CR#3704870 [2] |
Hoch | Anzeige |
| CVE-2024-33010 |
A-339043396 QC-CR#3717571 |
Hoch | WLAN |
| CVE-2024-33011 |
A-339043727 QC-CR#3717567 |
Hoch | WLAN |
| CVE-2024-33012 |
A-339043053 QC-CR#3717566 |
Hoch | WLAN |
| CVE-2024-33013 |
A-339042691 QC-CR#3710085 |
Hoch | WLAN |
| CVE-2024-33014 |
A-339043382 QC-CR#3710081 |
Hoch | WLAN |
| CVE-2024-33015 |
A-339043107 QC-CR#3710080 |
Hoch | WLAN |
| CVE-2024-33018 |
A-339043500 QC-CR#3704796 |
Hoch | WLAN |
| CVE-2024-33019 |
A-339043783 QC-CR#3704794 |
Hoch | WLAN |
| CVE-2024-33020 |
A-339043480 QC-CR#3704762 |
Hoch | WLAN |
| CVE-2024-33023 |
A-339043278 QC-CR#3702019 [2] |
Hoch | Anzeige |
| CVE-2024-33024 |
A-339043270 QC-CR#3700072 |
Hoch | WLAN |
| CVE-2024-33025 |
A-339042969 QC-CR#3700045 |
Hoch | WLAN |
| CVE-2024-33026 |
A-339043880 QC-CR#3699954 |
Hoch | WLAN |
| CVE-2024-33027 |
A-316373168 QC-CR#3697522 |
Hoch | Anzeige |
| CVE-2024-33028 |
A-339043463 QC-CR#3694338 |
Hoch | Anzeige |
Geschlossene Quelle von Qualcomm Komponenten
Diese Sicherheitslücken betreffen Closed-Source-Komponenten von Qualcomm. und werden in der entsprechenden Qualcomm-Hilfe Sicherheitsbulletin oder eine Sicherheitswarnung. Die Bewertung des Schweregrads Diese Probleme werden direkt von Qualcomm zur Verfügung gestellt.
| CVE | Referenzen | Wichtigkeit | Unterkomponente |
|---|---|---|---|
| CVE-2024-23350 |
A-323919259 * | Kritisch | Closed-Source-Komponente |
| CVE-2024-21481 |
A-323918669 * | Hoch | Closed-Source-Komponente |
| CVE-2024-23352 |
A-323918787 * | Hoch | Closed-Source-Komponente |
| CVE-2024-23353 |
A-323918845 * | Hoch | Closed-Source-Komponente |
| CVE-2024-23355 |
A-323918338 * | Hoch | Closed-Source-Komponente |
| CVE-2024-23356 |
A-323919081 * | Hoch | Closed-Source-Komponente |
| CVE-2024-23357 |
A-323919249 * | Hoch | Closed-Source-Komponente |
Häufige Fragen und Antworten
In diesem Abschnitt finden Sie Antworten auf häufig gestellte Fragen, zum Lesen dieses Bulletins.
1. Wie finde ich heraus, ob mein Gerät auf um diese Probleme zu beheben?
Informationen zum Prüfen des Sicherheitspatch-Levels eines Geräts finden Sie unter Android-Gerät prüfen und aktualisieren
- Die Sicherheitspatch-Level ab 01.08.2024 beziehen sich auf alle Probleme im Zusammenhang mit dem Sicherheitspatch vom 01.08.2024
- Die Sicherheitspatch-Level ab 05.08.2024 beziehen sich auf alle Probleme im Zusammenhang mit dem Sicherheitspatch-Level vom 05.08.2024 und alle vorherigen Patch-Levels.
Gerätehersteller, die diese Updates anbieten, sollten die Patch-String-Ebene in:
- [ro.build.version.security_patch]:[01.08.2024]
- [ro.build.version.security_patch]:[05.08.2024]
Auf einigen Geräten mit Android 10 oder höher werden die Systemupdate hat einen Datumsstring, der mit dem 01.08.2024 übereinstimmt. Stand der Sicherheitsupdates. Weitere Informationen finden Sie in diesem Artikel. wie Sie Sicherheitsupdates installieren.
2. Warum enthält dieses Bulletin zwei Sicherheitspatches? Leveln?
Dieses Bulletin enthält zwei Sicherheitspatch-Levels, können Partner flexibel bestimmte Sicherheitslücken beheben, die auf allen Android-Geräten ähnlich sind. Android-Geräte Partner werden ermutigt, alle in diesem Bulletin genannten Probleme zu beheben und den neuesten Sicherheitspatch-Level verwenden.
- Geräte, die den Sicherheitspatch-Level vom 01.08.2024 verwenden, müssen alle Probleme im Zusammenhang mit diesem Sicherheitspatch-Level, sowie Fehlerkorrekturen für alle Probleme, die in den vorherigen Sicherheitseinstellungen gemeldet wurden, Bulletins.
- Geräte mit dem Sicherheitspatch-Level vom 05.08.2024 oder neuer muss alle anwendbaren Patches in dieser Datei enthalten (und vorherigen) Sicherheitsbulletins.
Partner sollten die Fehlerbehebungen für alle Probleme bündeln die sie in einem einzigen Update beheben müssen.
3. Was bedeuten die Einträge in der Spalte Typ
Einträge in der Spalte Typ der Sicherheitslücke Detailtabelle bezieht sich auf die Klassifizierung des Werts eine Sicherheitslücke.
| Abkürzung | Definition |
|---|---|
| RCE | Codeausführung per Fernzugriff |
| EOP | Rechteausweitung |
| ID | Offenlegung von Informationen |
| DoS | Denial of Service |
| – | Klassifizierung nicht verfügbar |
4. Was bedeuten die Einträge in den Referenzen? Spaltenmittelwert?
Einträge in der Spalte Referenzen des Die Tabelle mit den Details zu Sicherheitslücken Organisation, zu der der Referenzwert gehört.
| Präfix | Verweise |
|---|---|
| A- | Android-Programmfehler-ID |
| Qualitätskontrolle- | Qualcomm-Referenznummer |
| Mo– | MediaTek-Referenznummer |
| N- | NVIDIA-Referenznummer |
| B- | Broadcom-Referenznummer |
| U- | UNISOC-Referenznummer |
5. Was bedeutet ein * neben der Android-Programmfehler-ID im Verweise?
Probleme, die nicht öffentlich verfügbar sind, sind mit einem * neben dem zugehörige Referenz-ID. Das Update für dieses Problem in der Regel in den neuesten Binärtreibern für Pixel enthalten, verfügbaren Geräte in der Google Developers-Website.
6. Warum werden Sicherheitslücken Bulletin und Geräte-/Partner-Sicherheitsbulletins wie die Pixel-Bulletin?
Sicherheitslücken, die in diesem Dokument dokumentiert sind Bulletins sind erforderlich, um das neueste Sicherheitspatch-Level zu deklarieren auf Android-Geräten. Weitere Sicherheitslücken, die in den Sicherheitsbulletins für Geräte / Partner dokumentiert sind, für die Angabe eines Sicherheitspatch-Levels erforderlich. Android-Gerät und Chipsatzhersteller können auch Sicherheitslücken veröffentlichen, produktspezifische Details wie Google, Huawei, LGE, Motorola, Nokia oder Samsung.
Versionen
| Version | Datum | Hinweise |
|---|---|---|
| 1.0 | 5. August 2024 | Bulletin veröffentlicht. |