Le bulletin sur la sécurité d'Android contient des informations sur les failles de sécurité affectant les appareils Android. Niveaux du correctif de sécurité à partir du 5 mars 2024. Pour savoir comment vérifier le niveau du correctif de sécurité d'un appareil, consultez Vérifiez la version d'Android installée et mettez-la à jour.
Les partenaires Android sont informés de tous les problèmes au moins un mois à l'avance. publication. Les correctifs du code source pour ces problèmes ont été publiés dans l'Android Open dépôt du projet source (AOSP), accessible à partir de ce bulletin. Ce bulletin inclut également des liens vers des correctifs en dehors d’AOSP.
Le plus grave de ces problèmes est une faille de sécurité critique dans le Composant système susceptible d'entraîner l'exécution de code à distance sans frais supplémentaires droits d'exécution requis. L'évaluation de la gravité est basée sur l'effet l’exploitation de la vulnérabilité aurait peut-être sur un appareil affecté, en supposant que les mesures d'atténuation des risques liés à la plate-forme et aux services sont désactivées pour le développement ou en cas de contournement réussi.
Reportez-vous à la documentation Android et Google Play Protect des stratégies d'atténuation pour en savoir plus Plate-forme de sécurité Android ces protections et Google Play Protect, qui améliorent la sécurité de la plate-forme Android.
Service Android et Google mesures d'atténuation
Il s'agit d'un récapitulatif des mesures d'atténuation proposées par le Plate-forme de sécurité Android et des protections de service, Google Play Protect : Ces fonctionnalités réduisent la probabilité que les failles de sécurité puissent être exploitées sur Android.
- L'exploitation de nombreux problèmes sur Android est rendue plus difficile améliorations apportées dans les versions plus récentes de la plate-forme Android. Nous encourageons tous utilisateurs afin de passer à la dernière version d'Android lorsque cela est possible.
- L'équipe de sécurité Android surveille activement les utilisations abusives grâce à Google Play Nest Protect et avertit les utilisateurs Potentiellement Applications nuisibles. Google Play Protect est activé par défaut sur appareils avec Google Mobile de Google et est particulièrement important pour les utilisateurs qui installent des applications depuis en dehors de Google Play.
01/03/2024 détails de la faille au niveau du correctif de sécurité
Vous trouverez dans les sections ci-dessous des informations détaillées sur chacun des les failles qui s'appliquent au niveau du correctif du 01/03/2024. Les vulnérabilités sont regroupées sous le composant qu'elles affectent. Les problèmes sont décrits dans les tableaux ci-dessous et incluent l'ID de la CVE, références, type de faille, severity, et versions mises à jour d'AOSP (le cas échéant). Le cas échéant, nous associons la modification publique visant à résoudre le problème au ID de bug, comme la liste de modifications AOSP. Lorsque plusieurs modifications portent sur un même bug, les références supplémentaires sont sont associés à des chiffres qui suivent l'ID de bug. Les appareils équipés d'Android 10 ou version ultérieure peuvent recevoir des mises à jour de sécurité, ainsi que : Google Lire les mises à jour du système.
Framework
La faille la plus grave figurant dans cette section pourrait entraîner une escalade au niveau local sans droits d'exécution supplémentaires requis.
| CVE | Références | Type | Gravité | Versions d'AOSP mises à jour |
|---|---|---|---|---|
| CVE-2024-0046 | A-299441833 | EoP | Élevée | 12, 12L, 13, 14 |
| CVE-2024-0048 | A-316893159 | EoP | Élevée | 12, 12L, 13, 14 |
| CVE-2024-0049 | A-273936274 | EoP | Élevée | 12, 12L, 13, 14 |
| CVE-2024-0050 | A-273935108 | EoP | Élevée | 12, 12L, 13, 14 |
| CVE-2024-0051 | A-276442130 | EoP | Élevée | 12, 12L, 13, 14 |
| CVE-2024-0053 | A-281525042 | ID | Élevée | 12, 12L, 13, 14 |
| CVE-2024-0047 | A-311687929 [2]. [3]. | DoS | Élevée | 14 |
Système
La faille la plus grave dans cette section pourrait entraîner sans droits d'exécution supplémentaires requis.
| CVE | Références | Type | Gravité | Versions d'AOSP mises à jour |
|---|---|---|---|---|
| CVE-2024-0039 | A-295887535 [2]. [3]. | RCE | Critique | 12, 12L, 13, 14 |
| CVE-2024-23717 | A-318374503 | EoP | Critique | 12, 12L, 13, 14 |
| CVE-2023-40081 | A-284297452 | ID | Élevée | 12, 12L, 13, 14 |
| CVE-2024-0045 | A-300903400 | ID | Élevée | 12, 12L, 13, 14 |
| CVE-2024-0052 | A-303871379 | ID | Élevée | 14 |
Mises à jour du système Google Play
Aucun problème de sécurité n'est résolu dans les mises à jour du système Google Play (projet Mainline) ce mois-ci.
05/03/2024 détails de la faille au niveau du correctif de sécurité
Vous trouverez dans les sections ci-dessous des informations détaillées sur chacun des les failles qui s'appliquent au niveau du correctif du 05/03/2024. Les vulnérabilités sont regroupées sous le composant qu'elles affectent. Les problèmes sont décrits dans les tableaux ci-dessous et incluent l'ID de la CVE, références, type de faille, severity, et versions mises à jour d'AOSP (le cas échéant). Le cas échéant, nous associons la modification publique visant à résoudre le problème au ID de bug, comme la liste de modifications AOSP. Lorsque plusieurs modifications portent sur un même bug, les références supplémentaires sont sont associés à des chiffres qui suivent l'ID de bug.
AMLogic
Ces failles affectent les composants d'AMLogic. Pour plus d'informations, disponibles directement auprès d'AMLogic. L'évaluation de la gravité de ces problèmes est fournie directement par AMLogic.
| CVE | Références | Gravité | Sous-composant |
|---|---|---|---|
| CVE-2023-48424 |
A-315373062 * | Élevée | Bootloader (chargeur d'amorçage) |
| CVE-2023-48425 |
A-319132171 * | Élevée | Bootloader (chargeur d'amorçage) |
Composants du bras
Ces failles affectent les composants Arm et des informations supplémentaires sont disponibles directement à partir d'ARM. L'évaluation de la gravité de ces problèmes est fournie directement par Arm.
| CVE | Références | Gravité | Sous-composant |
|---|---|---|---|
| CVE-2023-6143 |
A-316197619 * | Élevée | Mali |
| CVE-2023-6241 |
A-316206835 * | Élevée | Mali |
Composants MediaTek
Ces failles affectent les composants MediaTek. Pour en savoir plus, consultez disponibles directement auprès de MediaTek. L'évaluation de la gravité de ces problèmes est fournie directement par MediaTek.
| CVE | Références | Gravité | Sous-composant |
|---|---|---|---|
| CVE-2024-20005 |
A-318303317
M-ALPS08355599 *. |
Élevée | da |
| CVE-2024-20022 |
A-318302377
M-ALPS08528255 *. |
Élevée | lk |
| CVE-2024-20023 |
A-318302378
M-ALPS08541638 *. |
Élevée | Flash C |
| CVE-2024-20024 |
A-318316114
M-ALPS08541635 *. |
Élevée | Flash C |
| CVE-2024-20025 |
A-318316115
M-ALPS08541686 *. |
Élevée | da |
| CVE-2024-20027 |
A-318316117
M-ALPS08541632 *. |
Élevée | da |
| CVE-2024-20028 |
A-318310276
M-ALPS08541632 *. |
Élevée | da |
| CVE-2024-20020 |
A-318302372
M-ALPS08522504 *. |
Élevée | OPTEE |
| CVE-2024-20026 |
A-318310274
M-ALPS08541632 *. |
Élevée | da |
Composants Qualcomm
Ces failles affectent les composants Qualcomm et sont décrites plus en détail dans le bulletin de sécurité Qualcomm ou l'alerte de sécurité appropriés. L'évaluation de la gravité de ces problèmes est assurée directement par Qualcomm.
| CVE | Références | Gravité | Sous-composant |
|---|---|---|---|
| CVE-2023-43546 |
A-314790498
QC-CR#3602482 |
Élevée | Sécurité |
| CVE-2023-43547 |
A-314791076
QC-CR#3602462 [2]. |
Élevée | Sécurité |
| CVE-2023-43550 |
A-314791623
QC-CR#3595842 |
Élevée | Noyau |
| CVE-2023-43552 |
A-314791054
QC-CR#3583521 |
Élevée | WLAN |
| CVE-2023-43553 |
A-314791341
QC-CR#3580821 |
Élevée | WLAN |
Composants à source fermée Qualcomm
Ces failles affectent les composants à source fermée décrits plus en détail dans le bulletin de sécurité Qualcomm approprié ou alerte de sécurité. L'évaluation de la gravité de ces problèmes est assurée directement par Qualcomm.
| CVE | Références | Gravité | Sous-composant |
|---|---|---|---|
| CVE-2023-28578 |
A-285902353 * | Critique | Composant à source fermée |
| CVE-2023-33042 |
A-295039320 * | Élevée | Composant à source fermée |
| CVE-2023-33066 |
A-303101493 * | Élevée | Composant à source fermée |
| CVE-2023-33105 |
A-314790953 * | Élevée | Composant à source fermée |
| CVE-2023-43539 |
A-314791241 * | Élevée | Composant à source fermée |
| CVE-2023-43548 |
A-314790932 * | Élevée | Composant à source fermée |
| CVE-2023-43549 |
A-314791266 * | Élevée | Composant à source fermée |
Questions fréquentes et réponses
Cette section répond aux questions fréquentes que l'on peut se poser après la lecture de ce .
1. Comment savoir si mon appareil a été mis à jour pour répondre à ces problèmes ? ces problèmes ?
Pour savoir comment vérifier le niveau du correctif de sécurité d'un appareil, consultez Vérifiez la version d'Android installée et mettez-la à jour.
- Niveau du correctif de sécurité à partir du 01/03/2024 ou à partir de l'adresse tous les problèmes associés au correctif de sécurité du 01/03/2024 d'application.
- Niveau du correctif de sécurité à partir du 05/03/2024 ou à partir de l'adresse tous les problèmes associés au correctif de sécurité du 05/03/2024 et tous les niveaux de correctif précédents.
Les fabricants d'appareils qui intègrent ces mises à jour doivent définir la chaîne patch au niveau suivant:
- [ro.build.version.security_patch]:[01/03/2024]
- [ro.build.version.security_patch]:[05/03/2024]
Pour certains appareils équipés d'Android 10 ou version ultérieure, la mise à jour du système Google Play aura une chaîne de date qui correspond au du correctif de sécurité. Veuillez consulter cet article pour découvrir comment installer les mises à jour de sécurité.
2. Pourquoi ce bulletin comporte-t-il deux niveaux de correctif de sécurité ?
Ce bulletin comporte deux niveaux de correctif de sécurité afin que les partenaires Android la de corriger un sous-ensemble de vulnérabilités similaires les appareils Android plus rapidement. Nous encourageons les partenaires Android à corriger problèmes dans ce bulletin et utilisez le dernier niveau du correctif de sécurité.
- Appareils utilisant le correctif de sécurité du 01/03/2024 doit inclure tous les problèmes associés à ce niveau de correctif de sécurité, ainsi que en tant que des correctifs pour tous les problèmes signalés dans les bulletins de sécurité précédents.
- Appareils utilisant le niveau du correctif de sécurité du 05/03/2024 ou une version plus récente doivent inclure tous les correctifs applicables à cette sécurité (et aux précédentes) et les bulletins.
Les partenaires sont encouragés à regrouper les correctifs pour tous les problèmes qu'ils rencontrent. en une seule mise à jour.
3. Que signifient les entrées de la colonne Type ?
Entrées de la colonne Type de la table "Informations sur les failles" faire référence à la classification de la faille de sécurité.
| Abréviation | Définition |
|---|---|
| RCE | Exécution de code à distance |
| EoP | Élévation de privilèges |
| ID | Divulgation d'informations |
| DoS | Déni de service |
| N/A | Classification non disponible |
4. Que signifient les entrées de la colonne Références ?
Entrées de la colonne Références dans les détails des failles peut contenir un préfixe identifiant l'organisation à laquelle référence valeur.
| Préfixe | Référence |
|---|---|
| A- | ID de bug Android |
| QC – | Numéro de référence Qualcomm |
| L- | Numéro de référence MediaTek |
| N- | Numéro de référence NVIDIA |
| B- | Numéro de référence Broadcom |
| U- | Numéro de référence UNISOC |
5. Que signifie un * à côté de l'ID de bug Android dans les références ? moyenne de cette colonne ?
Les numéros non disponibles publiquement sont signalés par un astérisque (*) à côté du nom ID de référence. La mise à jour de ce problème est généralement contenue dans le dernier pilotes binaires pour les appareils Pixel disponibles sur Google site pour les développeurs.
6. Pourquoi les failles de sécurité sont-elles réparties entre ce bulletin et les bulletins de sécurité des appareils ou des partenaires, tels que Bulletin Pixel ?
Les failles de sécurité documentées dans ce bulletin de sécurité sont Vous devez déclarer le dernier niveau du correctif de sécurité sur Android appareils. D'autres failles de sécurité documentées dans le les bulletins de sécurité de l'appareil / du partenaire ne sont pas nécessaires pour déclarer un niveau de correctif de sécurité. Fabricants d'appareils et de chipsets Android peuvent également publier des informations sur les failles de sécurité propres à leurs produits, tels que Google Huawei, LGE Motorola Nokia, ou Samsung.
Versions
| Version | Date | Notes |
|---|---|---|
| 1.0 | 4 mars 2024 | Publication du bulletin. |
| 1.1 | 29 juillet 2024 | Mises à jour des tables CVE. |