עדכון האבטחה של Android כולל פרטים על פרצות אבטחה שמשפיעות על מכשירי Android. רמות תיקון האבטחה מתאריך 5 ביולי 2024 ואילך מתייחסות לכל הבעיות האלה. למידע נוסף על בדיקת הרמה של תיקון האבטחה במכשיר, ראו בדיקה ועדכון של גרסת Android.
שותפי Android מקבלים הודעה על כל הבעיות לפחות חודש לפני הפרסום. תיקונים של קוד המקור לבעיות האלה פורסמו למאגר פרויקט הקוד הפתוח של Android (AOSP) וקושרו מהעדכון הזה. העדכון הזה כולל גם קישורים לתיקונים מחוץ ל-AOSP.
הבעיה החמורה ביותר מבין הבעיות האלה היא נקודת חולשה קריטית באבטחה ברכיב Framework שעלולה להוביל להסלמת הרשאות (privilege escalation) באופן מקומי ללא צורך בהרשאות ביצוע נוספות. הערכת החומרה מבוססת על ההשפעה האפשרית לניצול של נקודת החולשה על מכשיר המושפע, בהנחה שהמיטיגציות של הפלטפורמה והשירות מושבתות למטרות פיתוח או אם הן עוקפות בהצלחה.
בקטע המיטיגציות של Android ו-Google Play Protect מופיעים פרטים על ההגנות של פלטפורמות האבטחה של Android ועל Google Play Protect, שמשפרות את האבטחה של פלטפורמת Android.
מיטיגציות בשירותי Android ו-Google
זהו סיכום של ההקלות שפלטפורמת האבטחה של Android מספקת וההגנות על השירותים, כמו Google Play Protect. היכולות האלה מפחיתות את הסיכוי לניצול מוצלח של נקודות חולשה באבטחה ב-Android.
- הניצול של בעיות רבות ב-Android קשה יותר בגלל שיפורים בגרסאות חדשות יותר של פלטפורמת Android. אנחנו ממליצים לכל המשתמשים לעדכן לגרסה האחרונה של Android כשהדבר אפשרי.
- צוות האבטחה של Android עוקב באופן פעיל אחרי ניצול לרעה באמצעות Google Play Protect ומזהיר את המשתמשים מפני אפליקציות שעלולות להזיק (PHA). שירותי Google Play Protect מופעלים כברירת מחדל במכשירים עם שירותי Google לנייד, והוא חשוב במיוחד למשתמשים שמתקינים אפליקציות מחוץ ל-Google Play.
פרטי נקודות חולשה ברמה של תיקון האבטחה לשנת 2024
בסעיפים שבהמשך אנחנו מציגים פרטים על כל אחת מנקודות החולשה באבטחה שחלות על רמת התיקון בתאריך 1 ביולי 2024. נקודות החולשה מקובצות לרכיב שהן משפיעות עליהן. הבעיות מתוארות בטבלאות שבהמשך וכוללות מזהה CVE, הפניות קשורות, סוג נקודת החולשה, חומרה וגרסאות AOSP מעודכנות (אם רלוונטי). אנחנו מקשרים את השינוי הגלוי לכולם שטיפל בבעיה אל מזהה הבאג, כמו רשימת השינויים של AOSP. אם מספר שינויים קשורים לבאג יחיד, הפניות נוספות מקושרות למספרים שמופיעים אחרי מזהה הבאג. מכשירים עם Android 10 ואילך עשויים לקבל עדכוני אבטחה וגם עדכוני מערכת של Google Play.
מסגרת
נקודת החולשה החמורה ביותר בקטע הזה עלולה להוביל להסלמת הרשאות (privilege escalation) באופן מקומי ללא הרשאות ביצוע נוספות.
| CVE | קובצי עזר | Type | מידת החומרה | גרסאות AOSP מעודכנות |
|---|---|---|---|---|
| CVE-2024-31320 | A-329230490 [2] | ליש"ט | קריטי | 12, 12L |
| CVE-2024-31331 | A-297517712 | ליש"ט | High (גבוה) | 12, 12L, 13, 14 |
| CVE-2024-34720 | A-319081336 | ליש"ט | High (גבוה) | 12, 12L, 13, 14 |
| CVE-2024-34723 | A-317048338 | ליש"ט | High (גבוה) | 12, 12L, 13, 14 |
מערכת
נקודת החולשה החמורה ביותר בקטע הזה עלולה להוביל להסלמת הרשאות (privilege escalation) באופן מקומי ללא הרשאות ביצוע נוספות.
| CVE | קובצי עזר | Type | מידת החומרה | גרסאות AOSP מעודכנות |
|---|---|---|---|---|
| CVE-2024-31332 | A-299931076 | ליש"ט | High (גבוה) | 13, 14 |
| CVE-2024-31339 | A-292160348 | ליש"ט | High (גבוה) | 12, 12L, 13, 14 |
| CVE-2024-34722 | A-251514170 | ליש"ט | High (גבוה) | 12, 12L, 13, 14 |
| CVE-2024-34721 | A-294406604 | מזהה | High (גבוה) | 12, 12L, 13, 14 |
עדכוני מערכת של Google Play
הבעיות הבאות כלולות ברכיבי Project Mainline.
| רכיב משנה | CVE |
|---|---|
| MediaProvider | CVE-2024-34721 |
| נתונים סטטיסטיים | CVE-2024-31339 |
פרטי נקודות חולשה ברמה של תיקון האבטחה, 2024-07-05
בסעיפים שבהמשך אנחנו מציגים פרטים על כל נקודות החולשה באבטחה שחלות על רמת התיקון בתאריך 5 ביולי 2024. נקודות החולשה מקובצות לרכיב שהן משפיעות עליהן. הבעיות מתוארות בטבלאות שבהמשך וכוללות מזהה CVE, הפניות קשורות, סוג נקודת החולשה, חומרה וגרסאות AOSP מעודכנות (אם רלוונטי). אנחנו מקשרים את השינוי הגלוי לכולם שטיפל בבעיה אל מזהה הבאג, כמו רשימת השינויים של AOSP. אם מספר שינויים קשורים לבאג יחיד, הפניות נוספות מקושרות למספרים שמופיעים אחרי מזהה הבאג.
ליבה
נקודת החולשה בקטע הזה עלולה להוביל להסלמת הרשאות (privilege escalation) באופן מקומי ללא הרשאות ביצוע נוספות.
| CVE | קובצי עזר | Type | מידת החומרה | רכיב משנה |
|---|---|---|---|---|
| CVE-2024-26923 |
A-336268889 ליבה (kernel) של Upstream [2] [3] [4] |
ליש"ט | High (גבוה) | ליבה |
רכיבי זרוע
נקודות החולשה האלה משפיעות על רכיבי הזרוע ופרטים נוספים זמינים ישירות מ- Arm. הערכת החומרה של הבעיות האלה ניתנת ישירות על ידי Arm.
| CVE | קובצי עזר | מידת החומרה | רכיב משנה |
|---|---|---|---|
| CVE-2024-0153 |
A-302570828 * | High (גבוה) | מאלי |
| CVE-2024-4610 |
A-260126994 * | High (גבוה) | מאלי |
טכנולוגיות דמיון
נקודות החולשה האלה משפיעות על רכיבי הבינה המלאכותית (Imagination Technologies), ופרטים נוספים זמינים ישירות ב-Imagination Technologies. הערכת החומרה של הבעיות האלה ניתנת ישירות על ידי Imagination Technologies.
| CVE | קובצי עזר | מידת החומרה | רכיב משנה |
|---|---|---|---|
| CVE-2024-31334 |
A-337947582 * | High (גבוה) | PowerVR-GPU |
| CVE-2024-31335 |
A-337951645 * | High (גבוה) | PowerVR-GPU |
| CVE-2024-34724 |
A-331437482 * | High (גבוה) | PowerVR-GPU |
| CVE-2024-34725 |
A-331438755 * | High (גבוה) | PowerVR-GPU |
| CVE-2024-34726 |
A-331439207 * | High (גבוה) | PowerVR-GPU |
רכיבי MediaTek
נקודות החולשה האלה משפיעות על רכיבי MediaTek ופרטים נוספים זמינים ישירות מ-MediaTek. הערכת החומרה של הבעיות האלה מסופקת ישירות על ידי MediaTek.
| CVE | קובצי עזר | מידת החומרה | רכיב משנה |
|---|---|---|---|
| CVE-2024-20076 |
A-338887100 MOLY01297806 * |
High (גבוה) | מודם |
| CVE-2024-20077 |
A-338887097 MOLY01297807 * |
High (גבוה) | מודם |
רכיבי Qualcomm
נקודות החולשה האלה משפיעות על רכיבי Qualcomm והן מתוארות בפירוט בעדכון האבטחה המתאים של Qualcomm או בהתראת האבטחה. הערכת החומרה של הבעיות האלה ניתנת ישירות על ידי Qualcomm.
| CVE | קובצי עזר | מידת החומרה | רכיב משנה |
|---|---|---|---|
| CVE-2024-23368 |
A-332315224 QC-CR#3522299 |
High (גבוה) | ליבה |
| CVE-2024-23372 |
A-332315102 QC-CR#3692589 [2] |
High (גבוה) | מסך |
| CVE-2024-23373 |
A-332315050 QC-CR#3692564 [2] |
High (גבוה) | מסך |
| CVE-2024-23380 |
A-332315362 QC-CR#3690718 [2] |
High (גבוה) | מסך |
רכיבי מקור סגור של Qualcomm
נקודות החולשה האלה משפיעות על רכיבי הקוד הסגור של Qualcomm ומתוארות בפירוט רב בעדכון האבטחה המתאים של Qualcomm או בהתראת האבטחה. הערכת החומרה של הבעיות האלה מסופקת ישירות על ידי Qualcomm.
| CVE | קובצי עזר | מידת החומרה | רכיב משנה |
|---|---|---|---|
| CVE-2024-21461 |
A-318393487 * | קריטי | רכיב ממקור סגור |
| CVE-2024-21460 |
A-318393435 * | High (גבוה) | רכיב ממקור סגור |
| CVE-2024-21462 |
A-318394116 * | High (גבוה) | רכיב ממקור סגור |
| CVE-2024-21465 |
A-318393702 * | High (גבוה) | רכיב ממקור סגור |
| CVE-2024-21469 |
A-318393825 * | High (גבוה) | רכיב ממקור סגור |
שאלות נפוצות ותשובות
בקטע הזה מפורטות תשובות לשאלות נפוצות שעשויות להופיע לאחר קריאת המבזק הזה.
1. איך אפשר לבדוק אם המכשיר שלי מעודכן כדי לטפל בבעיות האלה?
כדי ללמוד איך בודקים את הרמה של תיקון האבטחה במכשיר, ראו איך בודקים ומעדכנים את גרסת Android במכשיר.
- רמות תיקון האבטחה מגרסה 1.7.2024 ואילך מתייחסות לכל הבעיות שקשורות לרמת תיקון האבטחה משנת 2024.
- רמות תיקון האבטחה משנת 2024.7.2024 ואילך מתייחסות לכל הבעיות שקשורות לרמת תיקון האבטחה ב-5 ביולי 2024 ולכל רמות התיקון הקודמות.
יצרני מכשירים שכוללים את העדכונים האלה צריכים להגדיר את רמת מחרוזת התיקון כ:
- [ro.build.version.security_patch]:[2024-07.01]
- [ro.build.version.security_patch]:[2024-07.05]
במכשירים מסוימים עם Android מגרסה 10 ואילך, עדכון המערכת של Google Play יכלול מחרוזת תאריך שתואמת לרמת תיקון האבטחה משנת 2024. במאמר הזה מופיעים פרטים נוספים על התקנת עדכוני האבטחה.
2. למה יש בדף הזה שתי רמות של תיקון אבטחה?
העדכון הזה כולל שתי רמות של תיקוני אבטחה כדי שלשותפי Android תהיה גמישות לתקן במהירות קבוצת משנה של נקודות חולשה שדומות בכל מכשירי Android. אנחנו ממליצים לשותפי Android לפתור את כל הבעיות בעדכון הזה ולהשתמש ברמה העדכנית ביותר של תיקון האבטחה.
- מכשירים שבהם נעשה שימוש ברמה של תיקון האבטחה בגרסה 2024-07-01 חייבים לכלול את כל הבעיות המשויכות לאותה רמת תיקון אבטחה, וכן תיקונים לכל הבעיות שדווחו בעדכון האבטחה הקודם.
- מכשירים ברמה של תיקון האבטחה מגרסה 2024.07.05 ואילך חייבים לכלול את כל התיקונים הרלוונטיים בעדכון האבטחה הזה (והקודם).
אנחנו ממליצים לשותפים לאגד את התיקונים לכל הבעיות שהם מטפלים בהם בעדכון אחד.
3. מה המשמעות של הערכים שבעמודה Type (סוג)?
רשומות בעמודה Type בטבלה של פרטי נקודת החולשה מתייחסות לסיווג של נקודת החולשה באבטחה.
| קיצור | הגדרה |
|---|---|
| RCE | ביצוע קוד מרחוק |
| ליש"ט | הרשאות ברמה גבוהה יותר |
| מזהה | חשיפת מידע |
| מניעת שירות (DoS) | התקפת מניעת שירות (DoS) |
| לא רלוונטי | הסיווג לא זמין |
4. מה המשמעות של הרשומות בעמודה References (קובצי עזר)?
רשומות מתחת לעמודה References בטבלה של פרטי נקודת החולשה עשויות להכיל קידומת שמציינת את הארגון שאליו שייך ערך ההפניה.
| תחילית | חומרי עזר |
|---|---|
| A- | מזהה באג ב-Android |
| QC- | מספר סימוכין של Qualcomm |
| M- | מספר סימוכין של MediaTek |
| N- | מספר סימוכין של NVIDIA |
| B- | מספר סימוכין של Broadcom |
| U- | מספר סימוכין של UNISOC |
5. מה המשמעות של * לצד מזהה הבאג ב-Android בעמודה References (קובצי עזר)?
בבעיות שלא זמינות לכולם, סימן * לצד מזהה ההפניה המתאים. העדכון לבעיה הזו נכלל בדרך כלל במנהלי ההתקנים הבינאריים העדכניים ביותר למכשירי Pixel, שזמינים באתר Google Developers.
6. למה נקודות החולשה באבטחה מתחלקות בין עדכון האבטחה הזה לבין עדכוני האבטחה של מכשיר או שותף, כמו העדכון של Pixel?
פרצות האבטחה המתועדות בעדכון האבטחה הזה נדרשות להצהיר על הרמה העדכנית ביותר של תיקון האבטחה במכשירי Android. לא נדרשות פרצות אבטחה נוספות שמתועדות בעדכון האבטחה של המכשיר או השותף כדי להצהיר על רמת תיקון אבטחה. יצרנים של מכשירי Android וערכות שבבים עשויים גם לפרסם פרטים לגבי נקודות חולשה באבטחה שלהם שספציפיות למוצרים שלהם, כמו Google, Huawei, LGE, Motorola, Nokia או Samsung.
גרסאות
| גרסה | תאריך | אפליקציות לרישום הערות |
|---|---|---|
| 1.0 | 1 ביולי 2024 | המבזק פורסם. |