Boletim de segurança do Android: março de 2024

Publicado em 4 de março de 2024 | Atualizado em 29 de julho de 2024

O boletim de segurança do Android contém detalhes de vulnerabilidades de segurança que afetam dispositivos Android. Os níveis de patch de segurança de 2024-03-05 ou posterior resolver todos esses problemas. Para aprender a verificar o nível do patch de segurança de um dispositivo, consulte Verificar e atualizar a versão do Android.

Os parceiros Android são notificados sobre todos os problemas pelo menos um mês antes publicação. Os patches de código-fonte para esses problemas foram lançados no Android Open Source Project (AOSP) e vinculado a este boletim. Este boletim também inclui links para patches fora do AOSP.

O mais grave deles é uma vulnerabilidade de segurança crítica na Componente do sistema que pode levar à execução remota de código sem os privilégios de execução necessários. A avaliação de gravidade é baseada no efeito que explorar a vulnerabilidade poderia ter em um dispositivo afetado, supondo que as mitigações de plataforma e serviço estejam desativadas para desenvolvimento ou se forem ignorados.

Consulte a página da API Android e Google Play Protect na seção de mitigações de ameaças para ver detalhes Plataforma de segurança Android de segurança e o Google Play Protect, que aumentam a segurança da plataforma Android.

Serviço do Android e do Google mitigações

Este é um resumo das mitigações oferecidas pelo Plataforma de segurança Android e proteções de serviços, como Google Play Protect Esses recursos reduzem a probabilidade de que as vulnerabilidades de segurança sejam exploradas com sucesso no Android.

  • A exploração de muitos problemas no Android se torna mais difícil ao melhorias em versões mais recentes da plataforma Android. Incentivamos todos usuários para a versão mais recente do Android sempre que possível.
  • A equipe de segurança do Android monitora ativamente abusos usando Google Play Protect e avisa os usuários sobre Potencialmente Aplicativos nocivos. O Google Play Protect fica ativado por padrão dispositivos com o Google Dispositivo móvel Services e é especialmente importante para usuários que instalam aplicativos de fora do Google Play.

01/03/2024 detalhes da vulnerabilidade no nível do patch de segurança

Nas seções abaixo, fornecemos detalhes de cada um dos requisitos vulnerabilidades que se aplicam ao nível do patch de 01/03/2024. As vulnerabilidades são agrupadas de acordo com o componente que afetam. Os problemas são descritos nas tabelas abaixo e incluem o ID do CVE, associado referências, tipo de vulnerabilidade gravidade, e versões atualizadas do AOSP (quando aplicável). Quando disponível, vincularemos a alteração pública que solucionou o problema ao ID do bug, como a lista de mudanças do AOSP. Quando várias alterações estão relacionadas a um único bug, referências adicionais são vinculado a números após o ID do bug. Dispositivos com o Android 10 e versões mais recentes podem receber atualizações de segurança Google Reproduzir atualizações do sistema.

Framework

A vulnerabilidade mais grave nesta seção pode levar a um encaminhamento local sem precisar de privilégios de execução adicionais.

CVE Referências Tipo Gravidade Versões atualizadas do AOSP
CVE-2024-0046 A-299441833 (link em inglês) Fim do dia Alta 12, 12L, 13 e 14
CVE-2024-0048 A-316893159 (link em inglês) Fim do dia Alta 12, 12L, 13 e 14
CVE-2024-0049 A-273936274 (link em inglês) Fim do dia Alta 12, 12L, 13 e 14
CVE-2024-0050 A-273935108 (link em inglês) Fim do dia Alta 12, 12L, 13 e 14
CVE-2024-0051 A-276442130 (link em inglês) Fim do dia Alta 12, 12L, 13 e 14
CVE-2024-0053 A-281525042 (link em inglês) ID Alta 12, 12L, 13 e 14
CVE-2024-0047 A-311687929 (link em inglês) [2] [3] DoS (DoS) Alta 14

Sistema

A vulnerabilidade mais grave nesta seção pode levar a falhas no código sem precisar de outros privilégios necessários.

CVE Referências Tipo Gravidade Versões atualizadas do AOSP
CVE-2024-0039 A-295887535 (link em inglês) [2] [3] RCE Crítico 12, 12L, 13 e 14
CVE-2024-23717 A-318374503 (link em inglês) Fim do dia Crítico 12, 12L, 13 e 14
CVE-2023-40081 A-284297452 (link em inglês) ID Alta 12, 12L, 13 e 14
CVE-2024-0045 A-300903400 (link em inglês) ID Alta 12, 12L, 13 e 14
CVE-2024-0052 A-303871379 (link em inglês) ID Alta 14

Atualizações do sistema do Google Play

Não há problemas de segurança resolvidos nas atualizações do sistema do Google Play (Projeto Mainline) neste mês.

05/03/2024 detalhes da vulnerabilidade no nível do patch de segurança

Nas seções abaixo, fornecemos detalhes de cada um dos requisitos vulnerabilidades que se aplicam ao nível de patch 2024-03-05. As vulnerabilidades são agrupadas de acordo com o componente que afetam. Os problemas são descritos nas tabelas abaixo e incluem o ID do CVE, associado referências, tipo de vulnerabilidade gravidade, e versões atualizadas do AOSP (quando aplicável). Quando disponível, vincularemos a alteração pública que solucionou o problema ao ID do bug, como a lista de mudanças do AOSP. Quando várias alterações estão relacionadas a um único bug, referências adicionais são vinculado a números após o ID do bug.

AMLogic

Essas vulnerabilidades afetam os componentes da AMLogic e mais detalhes são disponibilizados diretamente pela AMLogic. A avaliação da gravidade desses problemas é fornecida diretamente pela AMLogic.

CVE Referências Gravidade Subcomponente
CVE-2023-48424
A-315373062 * Alta Carregador de inicialização
CVE-2023-48425
A-319132171 * Alta Carregador de inicialização

Componentes do grupo

Essas vulnerabilidades afetam os componentes do Arm. Mais detalhes estão disponíveis diretamente do Arm. A avaliação da gravidade desses problemas é fornecida diretamente pelo Arm.

CVE Referências Gravidade Subcomponente
CVE-2023-6143
A-316197619 * Alta Mali
CVE-2023-6241
A-316206835 * Alta Mali

Componentes do MediaTek

Essas vulnerabilidades afetam os componentes da MediaTek. Outros detalhes são disponíveis diretamente da MediaTek. A avaliação da gravidade desses problemas é fornecida diretamente pela MediaTek.

CVE Referências Gravidade Subcomponente
CVE-2024-20005
A-318303317
M-ALPS08355599 *
Alta da
CVE-2024-20022
A-318302377
M-ALPS08528255 *
Alta l
CVE-2024-20023
A-318302378
M-ALPS08541638 *
Alta Flashc
CVE-2024-20024
A-318316114
M-ALPS08541635 *
Alta Flashc
CVE-2024-20025
A-318316115
M-ALPS08541686 *
Alta da
CVE-2024-20027
A-318316117
M-ALPS08541632 *
Alta da
CVE-2024-20028
A-318310276
M-ALPS08541632 *
Alta da
CVE-2024-20020
A-318302372
M-ALPS08522504 *
Alta OTIMIZAÇÃO
CVE-2024-20026
A-318310274
M-ALPS08541632 *
Alta da

Componentes da Qualcomm

Essas vulnerabilidades afetam os componentes da Qualcomm e estão descritas em mais no boletim ou alerta de segurança da Qualcomm. A avaliação da gravidade desses problemas é fornecida diretamente pela Qualcomm.

CVE Referências Gravidade Subcomponente
CVE-2023-43546
A-314790498
QC-CR#3602482
Alta Segurança
CVE-2023-43547
A-314791076
QC-CR#3602462 [2]
Alta Segurança
CVE-2023-43550
A-314791623
QC-CR#3595842
Alta Kernel
CVE-2023-43552
A-314791054
QC-CR#3583521
Alta WLAN
CVE-2023-43553
A-314791341
QC-CR#3580821
Alta WLAN

Componentes de código fechado da Qualcomm

Essas vulnerabilidades afetam componentes de código fechado da Qualcomm e descritos em mais detalhes no boletim de segurança da Qualcomm ou alerta de segurança. A avaliação da gravidade desses problemas é fornecida diretamente pela Qualcomm.

CVE Referências Gravidade Subcomponente
CVE-2023-28578
(em inglês)
A-285902353 * Crítico Componente de código fechado
CVE-2023-33042
A-295039320 * Alta Componente de código fechado
CVE-2023-33066
(em inglês)
A-303101493 * Alta Componente de código fechado
CVE-2023-33105
A-314790953 * Alta Componente de código fechado
CVE-2023-43539
A-314791241 * Alta Componente de código fechado
CVE-2023-43548
A-314790932 * Alta Componente de código fechado
CVE-2023-43549
A-314791266 * Alta Componente de código fechado

Perguntas e respostas comuns

Esta seção responde a dúvidas comuns que podem surgir boletim informativo.

1. Como determino se meu dispositivo está atualizado para resolver esses problemas problemas?

Para aprender a verificar o nível do patch de segurança de um dispositivo, consulte Verificar e atualizar a versão do Android.

  • Endereço dos níveis de patch de segurança de 01/03/2024 ou posterior todos os problemas associados ao patch de segurança de 01/03/2024 nível
  • Endereço dos níveis de patch de segurança de 05/03/2024 ou posterior todos os problemas associados ao patch de segurança de 05/03/2024 e todos os níveis de patch anteriores.

Os fabricantes de dispositivos que incluem essas atualizações precisam definir a string de patch nível para:

  • [ro.build.version.security_patch]:[2024-03-01]
  • [ro.build.version.security_patch]:[2024-03-05]

Em alguns dispositivos com o Android 10 ou versões mais recentes, a atualização do sistema do Google Play terá uma string de data que corresponde ao formato 2024-03-01 nível do patch de segurança. Consulte este artigo para mais detalhes sobre como instalar atualizações de segurança.

2. Por que este boletim tem dois níveis de patch de segurança?

Este boletim tem dois níveis de patch de segurança para que os parceiros Android tenham as flexibilidade para corrigir um subconjunto de vulnerabilidades semelhantes Dispositivos Android mais rapidamente. Recomendamos que os parceiros do Android corrijam problemas neste boletim e usar o nível mais recente do patch de segurança.

  • Dispositivos que usam o nível do patch de segurança de 01/03/2024 precisa incluir todos os problemas associados ao nível do patch de segurança, além de quando e correções de todos os problemas relatados em boletins de segurança anteriores.
  • Dispositivos que usam o nível do patch de segurança de 05/03/2024 ou mais recentes devem incluir todos os patches aplicáveis nesta segurança (e nas anteriores) boletins informativos.

Incentivamos os parceiros a agrupar as correções de todos os problemas encontrados. em uma única atualização.

3. O que significam as entradas na coluna Tipo?

Entradas na coluna Tipo da tabela de detalhes da vulnerabilidade consultar a classificação da vulnerabilidade de segurança.

Abreviatura Definição
RCE Execução remota de código
Fim do dia Elevação do privilégio
ID Divulgação de informações
DoS (DoS) Negação de serviço
N/A Classificação indisponível

4. O que significam as entradas na coluna References?

Entradas na coluna Referências dos detalhes da vulnerabilidade pode conter um prefixo que identifica a organização para a qual Referência pertence.

Prefixo Referência
A- ID do bug do Android
Controle de qualidade Número de referência da Qualcomm
M- Número de referência da MediaTek
N Número de referência da NVIDIA
B- Número de referência Broadcom
de Número de referência do UNISOC

5. O que faz um * ao lado do ID do bug do Android nas Referências? média da coluna?

Os problemas que não estiverem disponíveis publicamente terão um * ao lado do nome da ID de referência. A atualização desse problema geralmente está contida na versão drivers binários para dispositivos Pixel disponíveis no Google Site para desenvolvedores.

6. Por que as vulnerabilidades de segurança estão divididas entre este boletim e de parceiros / dispositivos móveis, como Boletim do Pixel?

As vulnerabilidades de segurança documentadas neste boletim de segurança são obrigatório declarar o nível mais recente do patch de segurança no Android dispositivos. Vulnerabilidades de segurança adicionais que são documentadas na os boletins de segurança de parceiros / dispositivos declarar um nível de patch de segurança. Fabricantes de dispositivos Android e chipsset publicar detalhes de vulnerabilidade de segurança específicos dos produtos, como Google, Huawei, LGE, Motorola, Nokia, ou Samsung.

Versões

Versão Data Observações
1.0 4 de março de 2024 Boletim publicado.
1.1 29 de julho de 2024 Tabelas CVE atualizadas.