מבזק האבטחה של Android – יוני 2024

פורסם ב-3 ביוני 2024

עדכון האבטחה של Android כולל פרטים על פרצות אבטחה שמשפיעות על מכשירי Android. רמות תיקון האבטחה מתאריך 5 ביוני 2024 ואילך מתייחסות לכל הבעיות האלה. למידע נוסף על בדיקת הרמה של תיקון האבטחה במכשיר, ראו בדיקה ועדכון של גרסת Android.

שותפי Android מקבלים הודעה על כל הבעיות לפחות חודש לפני הפרסום. תיקונים של קוד המקור לבעיות האלה יפורסמו למאגר פרויקט הקוד הפתוח של Android (AOSP) ב-48 השעות הקרובות. נבדוק את המבזק הזה עם קישורי AOSP כשיהיו זמינים.

הבעיה החמורה ביותר של הבעיות האלה היא נקודת חולשה גבוהה באבטחה ברכיב המערכת, שעלולה להוביל להסלמת הרשאות (privilege escalation) באופן מקומי, ללא צורך בהרשאות ביצוע נוספות. הערכת החומרה מבוססת על ההשפעה האפשרית לניצול של נקודת החולשה על המכשיר המושפע, בהנחה שהמיטיגציות של הפלטפורמה והשירות מושבתות למטרות פיתוח או אם הן עוקפות בהצלחה.

בקטע המיטיגציות של Android ו-Google Play Protect מופיעים פרטים על ההגנות של פלטפורמות האבטחה של Android ועל Google Play Protect, שמשפרות את האבטחה של פלטפורמת Android.

מיטיגציות בשירותי Android ו-Google

זהו סיכום של ההקלות שפלטפורמת האבטחה של Android מספקת וההגנות על השירותים, כמו Google Play Protect. היכולות האלה מצמצמות את הסיכוי לניצול מוצלח של נקודות חולשה באבטחה ב-Android.

  • הניצול של בעיות רבות ב-Android קשה יותר בגלל שיפורים בגרסאות חדשות יותר של פלטפורמת Android. אנחנו ממליצים לכל המשתמשים לעדכן לגרסה האחרונה של Android כשהדבר אפשרי.
  • צוות האבטחה של Android עוקב באופן פעיל אחרי ניצול לרעה באמצעות Google Play Protect ומזהיר את המשתמשים מפני אפליקציות שעלולות להזיק (PHA). שירותי Google Play Protect מופעלים כברירת מחדל במכשירים עם שירותי Google לנייד, והוא חשוב במיוחד למשתמשים שמתקינים אפליקציות ממקורות אחרים ולא מ-Google Play.

פרטי נקודות חולשה ברמה של תיקון האבטחה, 01.06.2024

בסעיפים שבהמשך אנחנו מציגים פרטים על כל אחת מנקודות החולשה באבטחה שחלות על רמת התיקון בתאריך 1 ביוני 2024. נקודות החולשה מקובצות לרכיב שהן משפיעות עליהן. הבעיות מתוארות בטבלאות שבהמשך וכוללות מזהה CVE, הפניות קשורות, סוג נקודת החולשה, חומרה וגרסאות AOSP מעודכנות (אם רלוונטי). אנחנו מקשרים את השינוי הגלוי לכולם שטיפל בבעיה אל מזהה הבאג, כמו רשימת השינויים של AOSP. אם מספר שינויים קשורים לבאג יחיד, הפניות נוספות מקושרות למספרים שמופיעים אחרי מזהה הבאג. מכשירים עם Android 10 ואילך עשויים לקבל עדכוני אבטחה וגם עדכוני מערכת של Google Play.

מסגרת

נקודת החולשה החמורה ביותר בקטע הזה עלולה להוביל להסלמת הרשאות (privilege escalation) באופן מקומי ללא הרשאות ביצוע נוספות.

CVE קובצי עזר Type מידת החומרה גרסאות AOSP מעודכנות
CVE-2023-21266 A-223376078 ליש"ט High (גבוה) 12, 12L, 13
CVE-2024-31310 A-324874908 ליש"ט High (גבוה) 12, 12L, 13, 14
CVE-2024-31316 A-321941232 ליש"ט High (גבוה) 12, 12L, 13, 14
CVE-2024-31317 A-316153291 ליש"ט High (גבוה) 12, 12L, 13, 14
CVE-2024-31318 A-313428840 ליש"ט High (גבוה) 12, 12L, 13, 14
CVE-2024-31319 A-317357401 ליש"ט High (גבוה) 12, 12L, 13, 14
CVE-2024-31322 A-326485767 ליש"ט High (גבוה) 12, 12L, 13, 14
CVE-2024-31324 A-302431573 ליש"ט High (גבוה) 12, 12L, 13, 14
CVE-2024-31325 A-317503801 ליש"ט High (גבוה) 12, 12L, 13, 14
CVE-2024-31326 A-318497672 [2] ליש"ט High (גבוה) 14
CVE-2024-31312 A-314333719 מזהה High (גבוה) 12, 12L, 13, 14
CVE-2024-31314 A-304290201 מניעת שירות (DoS) High (גבוה) 12, 12L, 13, 14

מערכת

נקודת החולשה החמורה ביותר בקטע הזה עלולה להוביל להסלמת הרשאות (privilege escalation) באופן מקומי ללא הרשאות ביצוע נוספות.

CVE קובצי עזר Type מידת החומרה גרסאות AOSP מעודכנות
CVE-2023-21113 A-267231571 [2] [3] ליש"ט High (גבוה) 12, 12L, 13
CVE-2023-21114 A-272106880 [2] [3] ליש"ט High (גבוה) 13
CVE-2024-31311 A-330054251 ליש"ט High (גבוה) 12, 12L, 13, 14
CVE-2024-31313 A-321341508 ליש"ט High (גבוה) 12, 12L, 13, 14
CVE-2024-31315 A-321707289 ליש"ט High (גבוה) 12, 12L, 13, 14
CVE-2024-31323 A-313425281 ליש"ט High (גבוה) 14
CVE-2024-31327 A-321326147 ליש"ט High (גבוה) 12, 12L, 13, 14

עדכוני מערכת של Google Play

הבעיות הבאות כלולות ברכיבי Project Mainline.

רכיב משנה CVE
בריאות וכושר CVE-2024-31323
נתונים סטטיסטיים CVE-2024-31311
Wi-Fi CVE-2023-21114

פרטי נקודות חולשה ברמת תיקון האבטחה, 05.06.2024

בסעיפים שבהמשך אנחנו מציגים פרטים על כל נקודות החולשה באבטחה שחלות על רמת התיקון בתאריך 5 ביוני 2024. נקודות החולשה מקובצות לרכיב שהן משפיעות עליהן. הבעיות מתוארות בטבלאות שבהמשך וכוללות מזהה CVE, הפניות קשורות, סוג נקודת החולשה, חומרה וגרסאות AOSP מעודכנות (אם רלוונטי). אנחנו מקשרים את השינוי הגלוי לכולם שטיפל בבעיה אל מזהה הבאג, כמו רשימת השינויים של AOSP. אם מספר שינויים קשורים לבאג יחיד, הפניות נוספות מקושרות למספרים שמופיעים אחרי מזהה הבאג.

ליבה

נקודת החולשה בקטע הזה עלולה להוביל להסלמת הרשאות (privilege escalation) באופן מקומי בליבה (kernel) ללא הרשאות ביצוע נוספות.

CVE קובצי עזר Type מידת החומרה רכיב משנה
CVE-2024-26926 A-320661088
ליבה (kernel) של Upstream [2]
ליש"ט High (גבוה) קלסר

רכיבי זרוע

נקודות החולשה האלה משפיעות על רכיבי הזרוע ופרטים נוספים זמינים ישירות מ- Arm. הערכת החומרה של הבעיות האלה ניתנת ישירות על ידי Arm.

CVE קובצי עזר מידת החומרה רכיב משנה
CVE-2024-0671
A-329094549 * High (גבוה) מאלי
CVE-2024-1065
A-329096276 * High (גבוה) מאלי

טכנולוגיות דמיון

נקודות החולשה האלה משפיעות על רכיבי הבינה המלאכותית (Imagination Technologies), ופרטים נוספים זמינים ישירות ב-Imagination Technologies. הערכת החומרה של הבעיות האלה ניתנת ישירות על ידי Imagination Technologies.

CVE קובצי עזר מידת החומרה רכיב משנה
CVE-2024-23695
A-331245718 * High (גבוה) PowerVR-GPU
CVE-2024-23696
A-331244771 * High (גבוה) PowerVR-GPU
CVE-2024-23697
A-331245500 * High (גבוה) PowerVR-GPU
CVE-2024-23698
A-331239675 * High (גבוה) PowerVR-GPU
CVE-2024-23711
A-332571891 * High (גבוה) PowerVR-GPU

רכיבי MediaTek

נקודות החולשה האלה משפיעות על רכיבי MediaTek ופרטים נוספים זמינים ישירות מ-MediaTek. הערכת החומרה של הבעיות האלה מסופקת ישירות על ידי MediaTek.

CVE קובצי עזר מידת החומרה רכיב משנה
CVE-2024-20065
A-332178746
M-ALPS08698617 *
High (גבוה) טלפוניה
CVE-2024-20069
A-332178751
M-MOLY01286330 *
High (גבוה) מודם
CVE-2024-20066
A-332001819
M-MOLY01267281 *
High (גבוה) מודם
CVE-2024-20067
A-332186387
M-MOLY01267285 *
High (גבוה) מודם
CVE-2024-20068
A-332178749
M-MOLY01270721 *
High (גבוה) מודם

רכיבי מקור סגור של Qualcomm

נקודות החולשה האלה משפיעות על רכיבי הקוד הסגור של Qualcomm ומתוארות בפירוט רב בעדכון האבטחה המתאים של Qualcomm או בהתראת האבטחה. הערכת החומרה של הבעיות האלה מסופקת ישירות על ידי Qualcomm.

CVE קובצי עזר מידת החומרה רכיב משנה
CVE-2023-43538
A-314791539 * קריטי רכיב ממקור סגור
CVE-2023-43551
A-314791442 * קריטי רכיב ממקור סגור
CVE-2023-43556
A-314791052 * קריטי רכיב ממקור סגור
CVE-2023-43542
A-314790691 * High (גבוה) רכיב ממקור סגור
CVE-2024-23363
A-328084351 * High (גבוה) רכיב ממקור סגור

שאלות נפוצות ותשובות

בקטע הזה מפורטות תשובות לשאלות נפוצות שעשויות להופיע לאחר קריאת המבזק הזה.

1. איך אפשר לבדוק אם המכשיר שלי מעודכן כדי לטפל בבעיות האלה?

כדי ללמוד איך בודקים את הרמה של תיקון האבטחה במכשיר, ראו איך בודקים ומעדכנים את גרסת Android במכשיר.

  • רמות תיקון האבטחה מגרסה 1.6.2024 ואילך מתייחסות לכל הבעיות שקשורות לרמת תיקון האבטחה משנת 2024.
  • רמות תיקון האבטחה מגרסה 5 ביוני 2024 ואילך מתייחסות לכל הבעיות שקשורות לרמת תיקון האבטחה ב-6 ביוני 2024 ולכל רמות התיקון הקודמות.

יצרני מכשירים שכוללים את העדכונים האלה צריכים להגדיר את רמת מחרוזת התיקון כ:

  • [ro.build.version.security_patch]:[2024-06.01]
  • [ro.build.version.security_patch]:[2024-06.05]

במכשירים מסוימים עם Android מגרסה 10 ואילך, עדכון המערכת של Google Play יכלול מחרוזת תאריך שתואמת לרמת תיקון האבטחה משנת 2024. במאמר הזה מופיעים פרטים נוספים על התקנת עדכוני האבטחה.

2. למה יש בדף הזה שתי רמות של תיקון אבטחה?

העדכון הזה כולל שתי רמות של תיקוני אבטחה כדי שלשותפי Android תהיה גמישות לתקן במהירות קבוצת משנה של נקודות חולשה שדומות בכל מכשירי Android. אנחנו ממליצים לשותפי Android לפתור את כל הבעיות בעדכון הזה ולהשתמש ברמה העדכנית ביותר של תיקון האבטחה.

  • מכשירים שבהם נעשה שימוש ברמה של תיקון האבטחה בגרסה 2024-06.2024 חייבים לכלול את כל הבעיות המשויכות לאותה רמת תיקון אבטחה, וכן תיקונים לכל הבעיות שדווחו בעדכון האבטחה הקודם.
  • מכשירים ברמה של תיקון האבטחה מגרסה 2024.06.05 ואילך חייבים לכלול את כל התיקונים הרלוונטיים בעדכון האבטחה הזה (והקודם).

אנחנו ממליצים לשותפים לאגד את התיקונים לכל הבעיות שהם מטפלים בהם בעדכון אחד.

3. מה המשמעות של הערכים שבעמודה Type (סוג)?

רשומות בעמודה Type בטבלה של פרטי נקודת החולשה מתייחסות לסיווג של נקודת החולשה באבטחה.

קיצור הגדרה
RCE ביצוע קוד מרחוק
ליש"ט הרשאות ברמה גבוהה יותר
מזהה חשיפת מידע
מניעת שירות (DoS) התקפת מניעת שירות (DoS)
לא רלוונטי הסיווג לא זמין

4. מה המשמעות של הרשומות בעמודה References (קובצי עזר)?

רשומות מתחת לעמודה References בטבלה של פרטי נקודת החולשה עשויות להכיל קידומת שמציינת את הארגון שאליו שייך ערך ההפניה.

תחילית חומרי עזר
A-‎ מזהה באג ב-Android
QC- מספר סימוכין של Qualcomm
M- מספר סימוכין של MediaTek
N- מספר סימוכין של NVIDIA
B-‎ מספר סימוכין של Broadcom
U- מספר סימוכין של UNISOC

5. מה המשמעות של * לצד מזהה הבאג ב-Android בעמודה References (קובצי עזר)?

בבעיות שלא זמינות לכולם, סימן * לצד מזהה ההפניה המתאים. העדכון לבעיה הזו נכלל בדרך כלל במנהלי ההתקנים הבינאריים העדכניים ביותר למכשירי Pixel, שזמינים באתר Google Developers.

6. למה נקודות החולשה באבטחה מתחלקות בין עדכון האבטחה הזה לבין עדכוני האבטחה של מכשיר או שותף, כמו העדכון של Pixel?

פרצות האבטחה המתועדות בעדכון האבטחה הזה נדרשות להצהיר על הרמה העדכנית ביותר של תיקון האבטחה במכשירי Android. לא נדרשות פרצות אבטחה נוספות שמתועדות בעדכון האבטחה של המכשיר או השותף כדי להצהיר על רמת תיקון אבטחה. יצרנים של מכשירי Android וערכות שבבים עשויים גם לפרסם פרטים על נקודות חולשה באבטחה הספציפיות למוצרים שלהם, כמו Google, Huawei, LGE, Motorola, Nokia או Samsung.

גרסאות

גרסה תאריך אפליקציות לרישום הערות
1.0 3 ביוני 2024 המבזק פורסם