חדשות האבטחה של Android מכילות פרטים על פרצות אבטחה משפיעה על מכשירי Android. רמות של תיקון האבטחה החל מ-5 במרץ 2024 ואילך. למידע על אופן הבדיקה של רמת תיקון האבטחה במכשיר, אפשר לבקר בכתובת איך יודעים איזו גרסת Android יש במכשיר ומעדכנים אותה
שותפי Android מקבלים הודעה על כל הבעיות לפחות חודש לפני לאתר החדשות. תיקונים של קוד המקור לבעיות האלה פורסמו ב-Android Open מאגר של פרויקט המקור (AOSP) והוא מקושר מהעדכון הזה. מבזק זה כוללת גם קישורים לתיקונים מחוץ ל-AOSP.
הבעיה החמורה ביותר של הבעיות האלה היא נקודת חולשה קריטית באבטחה רכיב מערכת שעלול להוביל לביצוע קוד מרחוק ללא הוספה נוספת נדרשות הרשאות ביצוע. הערכת החומרה מבוססת על ההשפעה וניצול נקודות החולשה במכשיר שנפגע, בהנחה שהפלטפורמה והמיטיגציות בשירות מושבתות לצורכי פיתוח למטרות עסקיות או אם ניתן לעקוף אותה בהצלחה.
מידע נוסף זמין במאמר בנושא Android ו-Google Play Protect בקטע של מיטיגציות, פלטפורמת האבטחה של Android אמצעי הגנה ו-Google Play Protect, שמשפרים את האבטחה של פלטפורמת Android.
שירות Android ו-Google מיטיגציות
זהו סיכום של ההקלות שמסופקות על-ידי פלטפורמת האבטחה של Android הגנות על שירותים כמו Google Play Protect. היכולות האלה מצמצמות את יש סבירות גבוהה שאפשר לנצל בהצלחה נקודות חולשה באבטחה ב-Android.
- קשה יותר לנצל בעיות רבות ב-Android על ידי שיפורים בגרסאות חדשות יותר של פלטפורמת Android. אנחנו מעודדים את כל משתמשים כדי לעדכן לגרסה העדכנית ביותר של Android כשהדבר אפשרי.
- צוות האבטחה של Android עוקב באופן פעיל אחרי ניצול לרעה באמצעות ב-Google Play Protect ומזהי משתמשים מפני כנראה אפליקציות מזיקות. שירות Google Play Protect מופעל כברירת מחדל מכשירים עם Google מכשיר נייד שירותים, והוא חשוב במיוחד למשתמשים שמתקינים אפליקציות מחוץ ל-Google Play.
1 במרץ 2024 פרטי נקודת חולשה ברמת תיקון האבטחה
בסעיפים הבאים אנחנו מציגים פרטים על כל אחת משיטות האבטחה נקודות חולשה שחלות על רמת התיקון בתאריך 1 במרץ 2024. נקודות החולשה מקובצות בהתאם לרכיב שהן משפיעות עליהן. הבעיות מתוארות בטבלאות שבהמשך וכוללות מזהה CVE, התייחסות, סוג נקודת חולשה, חומרה, וגרסאות AOSP מעודכנות (אם רלוונטי). כשמצוין, אנחנו מקשרים את השינוי הגלוי לכולם שהוביל לבעיה אל מזהה באג, כמו רשימת השינויים ב-AOSP. כאשר שינויים מרובים קשורים לבאג אחד, הפניות נוספות מקושר למספרים שמופיעים אחרי מזהה הבאג. מכשירים עם Android מגרסה 10 ואילך עשויים לקבל עדכוני אבטחה וגם Google הפעלה עדכוני מערכת.
מסגרת
נקודת החולשה החמורה ביותר בקטע הזה עלולה להוביל להעברה מקומית לטיפול ברמה גבוהה יותר ללא הרשאות ביצוע נוספות.
| CVE | קובצי עזר | סוג | מידת החומרה | גרסאות AOSP מעודכנות |
|---|---|---|---|---|
| CVE-2024-0046 | A-299441833 | ליש"ט | רחב | 12, 12L, 13, 14 |
| CVE-2024-0048 | A-316893159 | ליש"ט | רחב | 12, 12L, 13, 14 |
| CVE-2024-0049 | A-273936274 | ליש"ט | רחב | 12, 12L, 13, 14 |
| CVE-2024-0050 | A-273935108 | ליש"ט | רחב | 12, 12L, 13, 14 |
| CVE-2024-0051 | A-276442130 | ליש"ט | רחב | 12, 12L, 13, 14 |
| CVE-2024-0053 | A-281525042 | מזהה | רחב | 12, 12L, 13, 14 |
| CVE-2024-0047 | A-311687929 [2] [3] | מניעת שירות (DoS) | רחב | 14 |
מערכת
נקודת החולשה החמורה ביותר בקטע הזה עלולה להוביל לקוד מרחוק ללא צורך בהרשאות ביצוע נוספות.
| CVE | קובצי עזר | סוג | מידת החומרה | גרסאות AOSP מעודכנות |
|---|---|---|---|---|
| CVE-2024-0039 | A-295887535 [2] [3] | RCE | קריטי | 12, 12L, 13, 14 |
| CVE-2024-23717 | A-318374503 | ליש"ט | קריטי | 12, 12L, 13, 14 |
| CVE-2023-40081 | A-284297452 | מזהה | רחב | 12, 12L, 13, 14 |
| CVE-2024-0045 | A-300903400 | מזהה | רחב | 12, 12L, 13, 14 |
| CVE-2024-0052 | A-303871379 | מזהה | רחב | 14 |
עדכוני מערכת של Google Play
אין בעיות אבטחה שטופלו בעדכוני המערכת של Google Play (Project Mainline) החודש.
5.03.2024 פרטי נקודת חולשה ברמת תיקון האבטחה
בסעיפים הבאים אנחנו מציגים פרטים על כל אחת משיטות האבטחה נקודות חולשה שחלות על רמת התיקון בתאריך 5 במרץ 2024. נקודות החולשה מקובצות בהתאם לרכיב שהן משפיעות עליהן. הבעיות מתוארות בטבלאות שבהמשך וכוללות מזהה CVE, התייחסות, סוג נקודת חולשה, חומרה, וגרסאות AOSP מעודכנות (אם רלוונטי). כשמצוין, אנחנו מקשרים את השינוי הגלוי לכולם שהוביל לבעיה אל מזהה באג, כמו רשימת השינויים ב-AOSP. כאשר שינויים מרובים קשורים לבאג אחד, הפניות נוספות מקושר למספרים שמופיעים אחרי מזהה הבאג.
AMLogic
נקודות החולשה האלה משפיעות על רכיבי AMLogic, ופרטים נוספים ישירות מ-AMLogic. הערכת החומרה של הבעיות האלה מסופקת ישירות על ידי AMLogic.
| CVE | קובצי עזר | מידת החומרה | רכיב משנה |
|---|---|---|---|
| CVE-2023-48424 |
A-315373062 * | רחב | תוכנת אתחול |
| CVE-2023-48425 |
A-319132171 * | רחב | תוכנת אתחול |
רכיבי זרוע
נקודות החולשה האלה משפיעות על רכיבי הזרוע ויש פרטים נוספים ישירות מ- Arm. הערכת החומרה של הבעיות האלה ניתנת ישירות על ידי Arm.
| CVE | קובצי עזר | מידת החומרה | רכיב משנה |
|---|---|---|---|
| CVE-2023-6143 |
A-316197619 * | רחב | מאלי |
| CVE-2023-6241 |
A-316206835 * | רחב | מאלי |
רכיבי MediaTek
נקודות החולשה האלה משפיעות על רכיבי MediaTek, ופרטים נוספים ישירות מ-MediaTek. הערכת החומרה של הבעיות האלה מסופקת ישירות על ידי MediaTek.
| CVE | קובצי עזר | מידת החומרה | רכיב משנה |
|---|---|---|---|
| CVE-2024-20005 |
A-318303317
M-ALPS08355599 * |
רחב | da |
| CVE-2024-20022 |
A-318302377
M-ALPS08528255 * |
רחב | lk |
| CVE-2024-20023 |
A-318302378
M-ALPS08541638 * |
רחב | Flashc |
| CVE-2024-20024 |
A-318316114
M-ALPS08541635 * |
רחב | Flashc |
| CVE-2024-20025 |
A-318316115
M-ALPS08541686 * |
רחב | da |
| CVE-2024-20027 |
A-318316117
M-ALPS08541632 * |
רחב | da |
| CVE-2024-20028 |
A-318310276
M-ALPS08541632 * |
רחב | da |
| CVE-2024-20020 |
A-318302372
M-ALPS08522504 * |
רחב | הצטרפות |
| CVE-2024-20026 |
A-318310274
M-ALPS08541632 * |
רחב | da |
רכיבי Qualcomm
נקודות החולשה האלה משפיעות על רכיבי Qualcomm ומתוארות בפירוט את הפרטים האלה בעדכון האבטחה המתאים של Qualcomm או בהתראת האבטחה. הערכת החומרה של הבעיות האלה מסופקת ישירות על ידי Qualcomm.
| CVE | קובצי עזר | מידת החומרה | רכיב משנה |
|---|---|---|---|
| CVE-2023-43546 |
A-314790498
QC-CR#3602482 |
רחב | אבטחה |
| CVE-2023-43547 |
A-314791076
QC-CR#3602462 [2] |
רחב | אבטחה |
| CVE-2023-43550 |
A-314791623
QC-CR#3595842 |
רחב | ליבה |
| CVE-2023-43552 |
A-314791054
QC-CR#3583521 |
רחב | רשת WLAN |
| CVE-2023-43553 |
A-314791341
QC-CR#3580821 |
רחב | רשת WLAN |
רכיבי מקור סגור של Qualcomm
נקודות החולשה האלה משפיעות על רכיבי הקוד הסגור של Qualcomm שמתוארים בפירוט בעדכון האבטחה המתאים של Qualcomm, התראת אבטחה. הערכת החומרה של הבעיות האלה מסופקת ישירות על ידי Qualcomm.
| CVE | קובצי עזר | מידת החומרה | רכיב משנה |
|---|---|---|---|
| CVE-2023-28578 |
A-285902353 * | קריטי | רכיב ממקור סגור |
| CVE-2023-33042 |
A-295039320 * | רחב | רכיב ממקור סגור |
| CVE-2023-33066 |
A-303101493 * | רחב | רכיב ממקור סגור |
| CVE-2023-33105 |
A-314790953 * | רחב | רכיב ממקור סגור |
| CVE-2023-43539 |
A-314791241 * | רחב | רכיב ממקור סגור |
| CVE-2023-43548 |
A-314790932 * | רחב | רכיב ממקור סגור |
| CVE-2023-43549 |
A-314791266 * | רחב | רכיב ממקור סגור |
שאלות נפוצות ותשובות
בקטע הזה מפורטות תשובות לשאלות נפוצות שעשויות להופיע לאחר קריאת המאמר מבזק
1. איך אפשר לבדוק אם המכשיר שלי מעודכן לטיפול בבעיות האלה בעיות?
למידע על אופן הבדיקה של רמת תיקון האבטחה במכשיר, אפשר לבקר בכתובת איך יודעים איזו גרסת Android יש במכשיר ומעדכנים אותה
- רמות תיקון אבטחה של כתובת מ-2024.03.2024 ואילך את כל הבעיות שקשורות לתיקון האבטחה משנת 2024 ברמה.
- רמות תיקון אבטחה של כתובת מ-2024.03.2024 ואילך את כל הבעיות שקשורות לתיקון האבטחה לשנת 2024 במרץ 2024 וכל רמות התיקון הקודמות.
יצרני מכשירים שכוללים את העדכונים האלה צריכים להגדיר את מחרוזת התיקון רמה ל:
- [ro.build.version.security_patch]:[2024.03.01]
- [ro.build.version.security_patch]:[2024.03.05]
במכשירים מסוימים עם Android מגרסה 10 ואילך, עדכון המערכת של Google Play יהיו מחרוזת תאריך שתואמת ל-1 במרץ 2024 רמת תיקון האבטחה. במאמר הזה מפורט מידע נוסף על להתקין עדכוני אבטחה.
2. למה יש שתי רמות של תיקון אבטחה למבזק הזה?
העלון הזה כולל שתי רמות של תיקוני אבטחה, כך ששותפי Android ה גמישות בתיקון קבוצת משנה של נקודות חולשה שדומות בכל מכשירי Android במהירות רבה יותר. אנחנו ממליצים לשותפי Android לתקן את כל הבעיות בעיות בעדכון הזה ולהשתמש ברמה האחרונה של תיקון האבטחה.
- מכשירים שנעשה בהם שימוש ברמה של תיקון האבטחה בגרסת 2024.03.2024 חייב לכלול את כל הבעיות שקשורות לרמת תיקון האבטחה הזו, וגם בתור לכל הבעיות שדווחו בעדכון האבטחה הקודם.
- מכשירים שנעשה בהם שימוש ברמת תיקון האבטחה של 5 במרץ 2024 או גרסאות חדשות יותר חייבות לכלול את כל התיקונים הרלוונטיים באבטחה הזו (וקודמת) מבזקים.
אנחנו ממליצים לשותפים לאגד יחד את התיקונים לכל הבעיות שהם מציגים התייחסות בעדכון יחיד.
3. מה המשמעות של הערכים שבעמודה סוג?
ערכים בעמודה סוג בטבלת פרטי נקודות החולשה את הסיווג של פרצת האבטחה.
| קיצור | הגדרה |
|---|---|
| RCE | ביצוע קוד מרחוק |
| ליש"ט | הרשאות ברמה גבוהה יותר |
| מזהה | חשיפת מידע |
| מניעת שירות (DoS) | התקפת מניעת שירות (DoS) |
| לא רלוונטי | הסיווג לא זמין |
4. מה המשמעות של הרשומות בעמודה References (קובצי עזר)?
רשומות מתחת לעמודה References (קובצי עזר) של פרטי פרצת האבטחה עשויה להכיל קידומת שמתארת את הארגון שאליו הפניה שייך לערך מסוים.
| תחילית | חומרי עזר |
|---|---|
| A- | מזהה באג ב-Android |
| QC- | מספר אסמכתה של Qualcomm |
| M- | מספר סימוכין של MediaTek |
| N- | מספר סימוכין של NVIDIA |
| B- | מספר סימוכין של Broadcom |
| U- | מספר סימוכין של UNISOC |
5. מה עושה * לצד מזהה הבאג ב-Android בקובצי העזר ממוצע עמודה?
ליד בעיות שלא זמינות לכולם יש סימן * מזהה ההפניה. העדכון עבור הבעיה הזו מופיע בדרך כלל בגרסת מנהלי התקנים בינאריים למכשירי Pixel שזמינים Google אתר למפתחים.
6. מדוע נקודות החולשה באבטחה מחולקות בין המבזק הזה לבין עדכוני אבטחה של המכשיר / שותפים, כמו עדכון Pixel?
פרצות האבטחה המתועדות בעדכון האבטחה הזה הן נדרשת להצהיר על הרמה האחרונה של תיקון האבטחה ב-Android מכשירים. פרצות אבטחה נוספות המתועדות אין צורך לעדכן את עדכוני האבטחה של המכשיר או השותפים עבור הצהרה על רמת תיקון אבטחה. יצרנים של מכשירי Android וערכות שבבים עשויים גם לפרסם פרטים על פרצות אבטחה ספציפיות למוצרים שלהם, כמו Google, Huawei, LGE, מוטורולה, Nokia, או Samsung.
גרסאות
| גרסה | תאריך | הערות |
|---|---|---|
| 1.0 | 4 במרץ 2024 | המבזק פורסם. |
| 1.1 | 29 ביולי 2024 | טבלאות ה-CVE עודכנו. |