מבזק האבטחה של Android – מרץ 2024

פורסם ב-4 במרץ 2024 | תאריך העדכון: 29 ביולי 2024

חדשות האבטחה של Android מכילות פרטים על פרצות אבטחה משפיעה על מכשירי Android. רמות של תיקון האבטחה החל מ-5 במרץ 2024 ואילך. למידע על אופן הבדיקה של רמת תיקון האבטחה במכשיר, אפשר לבקר בכתובת איך יודעים איזו גרסת Android יש במכשיר ומעדכנים אותה

שותפי Android מקבלים הודעה על כל הבעיות לפחות חודש לפני לאתר החדשות. תיקונים של קוד המקור לבעיות האלה פורסמו ב-Android Open מאגר של פרויקט המקור (AOSP) והוא מקושר מהעדכון הזה. מבזק זה כוללת גם קישורים לתיקונים מחוץ ל-AOSP.

הבעיה החמורה ביותר של הבעיות האלה היא נקודת חולשה קריטית באבטחה רכיב מערכת שעלול להוביל לביצוע קוד מרחוק ללא הוספה נוספת נדרשות הרשאות ביצוע. הערכת החומרה מבוססת על ההשפעה וניצול נקודות החולשה במכשיר שנפגע, בהנחה שהפלטפורמה והמיטיגציות בשירות מושבתות לצורכי פיתוח למטרות עסקיות או אם ניתן לעקוף אותה בהצלחה.

מידע נוסף זמין במאמר בנושא Android ו-Google Play Protect בקטע של מיטיגציות, פלטפורמת האבטחה של Android אמצעי הגנה ו-Google Play Protect, שמשפרים את האבטחה של פלטפורמת Android.

שירות Android ו-Google מיטיגציות

זהו סיכום של ההקלות שמסופקות על-ידי פלטפורמת האבטחה של Android הגנות על שירותים כמו Google Play Protect. היכולות האלה מצמצמות את יש סבירות גבוהה שאפשר לנצל בהצלחה נקודות חולשה באבטחה ב-Android.

  • קשה יותר לנצל בעיות רבות ב-Android על ידי שיפורים בגרסאות חדשות יותר של פלטפורמת Android. אנחנו מעודדים את כל משתמשים כדי לעדכן לגרסה העדכנית ביותר של Android כשהדבר אפשרי.
  • צוות האבטחה של Android עוקב באופן פעיל אחרי ניצול לרעה באמצעות ב-Google Play Protect ומזהי משתמשים מפני כנראה אפליקציות מזיקות. שירות Google Play Protect מופעל כברירת מחדל מכשירים עם Google מכשיר נייד שירותים, והוא חשוב במיוחד למשתמשים שמתקינים אפליקציות מחוץ ל-Google Play.

1 במרץ 2024 פרטי נקודת חולשה ברמת תיקון האבטחה

בסעיפים הבאים אנחנו מציגים פרטים על כל אחת משיטות האבטחה נקודות חולשה שחלות על רמת התיקון בתאריך 1 במרץ 2024. נקודות החולשה מקובצות בהתאם לרכיב שהן משפיעות עליהן. הבעיות מתוארות בטבלאות שבהמשך וכוללות מזהה CVE, התייחסות, סוג נקודת חולשה, חומרה, וגרסאות AOSP מעודכנות (אם רלוונטי). כשמצוין, אנחנו מקשרים את השינוי הגלוי לכולם שהוביל לבעיה אל מזהה באג, כמו רשימת השינויים ב-AOSP. כאשר שינויים מרובים קשורים לבאג אחד, הפניות נוספות מקושר למספרים שמופיעים אחרי מזהה הבאג. מכשירים עם Android מגרסה 10 ואילך עשויים לקבל עדכוני אבטחה וגם Google הפעלה עדכוני מערכת.

מסגרת

נקודת החולשה החמורה ביותר בקטע הזה עלולה להוביל להעברה מקומית לטיפול ברמה גבוהה יותר ללא הרשאות ביצוע נוספות.

CVE קובצי עזר סוג מידת החומרה גרסאות AOSP מעודכנות
CVE-2024-0046 A-299441833 ליש"ט רחב 12, 12L, 13, 14
CVE-2024-0048 A-316893159 ליש"ט רחב 12, 12L, 13, 14
CVE-2024-0049 A-273936274 ליש"ט רחב 12, 12L, 13, 14
CVE-2024-0050 A-273935108 ליש"ט רחב 12, 12L, 13, 14
CVE-2024-0051 A-276442130 ליש"ט רחב 12, 12L, 13, 14
CVE-2024-0053 A-281525042 מזהה רחב 12, 12L, 13, 14
CVE-2024-0047 A-311687929 [2] [3] מניעת שירות (DoS) רחב 14

מערכת

נקודת החולשה החמורה ביותר בקטע הזה עלולה להוביל לקוד מרחוק ללא צורך בהרשאות ביצוע נוספות.

CVE קובצי עזר סוג מידת החומרה גרסאות AOSP מעודכנות
CVE-2024-0039 A-295887535 [2] [3] RCE קריטי 12, 12L, 13, 14
CVE-2024-23717 A-318374503 ליש"ט קריטי 12, 12L, 13, 14
CVE-2023-40081 A-284297452 מזהה רחב 12, 12L, 13, 14
CVE-2024-0045 A-300903400 מזהה רחב 12, 12L, 13, 14
CVE-2024-0052 A-303871379 מזהה רחב 14

עדכוני מערכת של Google Play

אין בעיות אבטחה שטופלו בעדכוני המערכת של Google Play (Project Mainline) החודש.

5.03.2024 פרטי נקודת חולשה ברמת תיקון האבטחה

בסעיפים הבאים אנחנו מציגים פרטים על כל אחת משיטות האבטחה נקודות חולשה שחלות על רמת התיקון בתאריך 5 במרץ 2024. נקודות החולשה מקובצות בהתאם לרכיב שהן משפיעות עליהן. הבעיות מתוארות בטבלאות שבהמשך וכוללות מזהה CVE, התייחסות, סוג נקודת חולשה, חומרה, וגרסאות AOSP מעודכנות (אם רלוונטי). כשמצוין, אנחנו מקשרים את השינוי הגלוי לכולם שהוביל לבעיה אל מזהה באג, כמו רשימת השינויים ב-AOSP. כאשר שינויים מרובים קשורים לבאג אחד, הפניות נוספות מקושר למספרים שמופיעים אחרי מזהה הבאג.

AMLogic

נקודות החולשה האלה משפיעות על רכיבי AMLogic, ופרטים נוספים ישירות מ-AMLogic. הערכת החומרה של הבעיות האלה מסופקת ישירות על ידי AMLogic.

CVE קובצי עזר מידת החומרה רכיב משנה
CVE-2023-48424
A-315373062 * רחב תוכנת אתחול
CVE-2023-48425
A-319132171 * רחב תוכנת אתחול

רכיבי זרוע

נקודות החולשה האלה משפיעות על רכיבי הזרוע ויש פרטים נוספים ישירות מ- Arm. הערכת החומרה של הבעיות האלה ניתנת ישירות על ידי Arm.

CVE קובצי עזר מידת החומרה רכיב משנה
CVE-2023-6143
A-316197619 * רחב מאלי
CVE-2023-6241
A-316206835 * רחב מאלי

רכיבי MediaTek

נקודות החולשה האלה משפיעות על רכיבי MediaTek, ופרטים נוספים ישירות מ-MediaTek. הערכת החומרה של הבעיות האלה מסופקת ישירות על ידי MediaTek.

CVE קובצי עזר מידת החומרה רכיב משנה
CVE-2024-20005
A-318303317
M-ALPS08355599 *
רחב da
CVE-2024-20022
A-318302377
M-ALPS08528255 *
רחב lk
CVE-2024-20023
A-318302378
M-ALPS08541638 *
רחב Flashc
CVE-2024-20024
A-318316114
M-ALPS08541635 *
רחב Flashc
CVE-2024-20025
A-318316115
M-ALPS08541686 *
רחב da
CVE-2024-20027
A-318316117
M-ALPS08541632 *
רחב da
CVE-2024-20028
A-318310276
M-ALPS08541632 *
רחב da
CVE-2024-20020
A-318302372
M-ALPS08522504 *
רחב הצטרפות
CVE-2024-20026
A-318310274
M-ALPS08541632 *
רחב da

רכיבי Qualcomm

נקודות החולשה האלה משפיעות על רכיבי Qualcomm ומתוארות בפירוט את הפרטים האלה בעדכון האבטחה המתאים של Qualcomm או בהתראת האבטחה. הערכת החומרה של הבעיות האלה מסופקת ישירות על ידי Qualcomm.

CVE קובצי עזר מידת החומרה רכיב משנה
CVE-2023-43546
A-314790498
QC-CR#3602482
רחב אבטחה
CVE-2023-43547
A-314791076
QC-CR#3602462 [2]
רחב אבטחה
CVE-2023-43550
A-314791623
QC-CR#3595842
רחב ליבה
CVE-2023-43552
A-314791054
QC-CR#3583521
רחב רשת WLAN
CVE-2023-43553
A-314791341
QC-CR#3580821
רחב רשת WLAN

רכיבי מקור סגור של Qualcomm

נקודות החולשה האלה משפיעות על רכיבי הקוד הסגור של Qualcomm שמתוארים בפירוט בעדכון האבטחה המתאים של Qualcomm, התראת אבטחה. הערכת החומרה של הבעיות האלה מסופקת ישירות על ידי Qualcomm.

CVE קובצי עזר מידת החומרה רכיב משנה
CVE-2023-28578
A-285902353 * קריטי רכיב ממקור סגור
CVE-2023-33042
A-295039320 * רחב רכיב ממקור סגור
CVE-2023-33066
A-303101493 * רחב רכיב ממקור סגור
CVE-2023-33105
A-314790953 * רחב רכיב ממקור סגור
CVE-2023-43539
A-314791241 * רחב רכיב ממקור סגור
CVE-2023-43548
A-314790932 * רחב רכיב ממקור סגור
CVE-2023-43549
A-314791266 * רחב רכיב ממקור סגור

שאלות נפוצות ותשובות

בקטע הזה מפורטות תשובות לשאלות נפוצות שעשויות להופיע לאחר קריאת המאמר מבזק

1. איך אפשר לבדוק אם המכשיר שלי מעודכן לטיפול בבעיות האלה בעיות?

למידע על אופן הבדיקה של רמת תיקון האבטחה במכשיר, אפשר לבקר בכתובת איך יודעים איזו גרסת Android יש במכשיר ומעדכנים אותה

  • רמות תיקון אבטחה של כתובת מ-2024.03.2024 ואילך את כל הבעיות שקשורות לתיקון האבטחה משנת 2024 ברמה.
  • רמות תיקון אבטחה של כתובת מ-2024.03.2024 ואילך את כל הבעיות שקשורות לתיקון האבטחה לשנת 2024 במרץ 2024 וכל רמות התיקון הקודמות.

יצרני מכשירים שכוללים את העדכונים האלה צריכים להגדיר את מחרוזת התיקון רמה ל:

  • [ro.build.version.security_patch]:[2024.03.01]
  • [ro.build.version.security_patch]:[2024.03.05]

במכשירים מסוימים עם Android מגרסה 10 ואילך, עדכון המערכת של Google Play יהיו מחרוזת תאריך שתואמת ל-1 במרץ 2024 רמת תיקון האבטחה. במאמר הזה מפורט מידע נוסף על להתקין עדכוני אבטחה.

2. למה יש שתי רמות של תיקון אבטחה למבזק הזה?

העלון הזה כולל שתי רמות של תיקוני אבטחה, כך ששותפי Android ה גמישות בתיקון קבוצת משנה של נקודות חולשה שדומות בכל מכשירי Android במהירות רבה יותר. אנחנו ממליצים לשותפי Android לתקן את כל הבעיות בעיות בעדכון הזה ולהשתמש ברמה האחרונה של תיקון האבטחה.

  • מכשירים שנעשה בהם שימוש ברמה של תיקון האבטחה בגרסת 2024.03.2024 חייב לכלול את כל הבעיות שקשורות לרמת תיקון האבטחה הזו, וגם בתור לכל הבעיות שדווחו בעדכון האבטחה הקודם.
  • מכשירים שנעשה בהם שימוש ברמת תיקון האבטחה של 5 במרץ 2024 או גרסאות חדשות יותר חייבות לכלול את כל התיקונים הרלוונטיים באבטחה הזו (וקודמת) מבזקים.

אנחנו ממליצים לשותפים לאגד יחד את התיקונים לכל הבעיות שהם מציגים התייחסות בעדכון יחיד.

3. מה המשמעות של הערכים שבעמודה סוג?

ערכים בעמודה סוג בטבלת פרטי נקודות החולשה את הסיווג של פרצת האבטחה.

קיצור הגדרה
RCE ביצוע קוד מרחוק
ליש"ט הרשאות ברמה גבוהה יותר
מזהה חשיפת מידע
מניעת שירות (DoS) התקפת מניעת שירות (DoS)
לא רלוונטי הסיווג לא זמין

4. מה המשמעות של הרשומות בעמודה References (קובצי עזר)?

רשומות מתחת לעמודה References (קובצי עזר) של פרטי פרצת האבטחה עשויה להכיל קידומת שמתארת את הארגון שאליו הפניה שייך לערך מסוים.

תחילית חומרי עזר
A-‎ מזהה באג ב-Android
QC- מספר אסמכתה של Qualcomm
M- מספר סימוכין של MediaTek
N- מספר סימוכין של NVIDIA
B-‎ מספר סימוכין של Broadcom
U- מספר סימוכין של UNISOC

5. מה עושה * לצד מזהה הבאג ב-Android בקובצי העזר ממוצע עמודה?

ליד בעיות שלא זמינות לכולם יש סימן * מזהה ההפניה. העדכון עבור הבעיה הזו מופיע בדרך כלל בגרסת מנהלי התקנים בינאריים למכשירי Pixel שזמינים Google אתר למפתחים.

6. מדוע נקודות החולשה באבטחה מחולקות בין המבזק הזה לבין עדכוני אבטחה של המכשיר / שותפים, כמו עדכון Pixel?

פרצות האבטחה המתועדות בעדכון האבטחה הזה הן נדרשת להצהיר על הרמה האחרונה של תיקון האבטחה ב-Android מכשירים. פרצות אבטחה נוספות המתועדות אין צורך לעדכן את עדכוני האבטחה של המכשיר או השותפים עבור הצהרה על רמת תיקון אבטחה. יצרנים של מכשירי Android וערכות שבבים עשויים גם לפרסם פרטים על פרצות אבטחה ספציפיות למוצרים שלהם, כמו Google, Huawei, LGE, מוטורולה, Nokia, או Samsung.

גרסאות

גרסה תאריך הערות
1.0 4 במרץ 2024 המבזק פורסם.
1.1 29 ביולי 2024 טבלאות ה-CVE עודכנו.