Android Güvenlik Bülteni'nde, Android cihazları etkileyen güvenlik açıklarının ayrıntıları yer alır. 05.07.2024 veya sonraki bir güvenlik yaması düzeyleri bu sorunların tümünü ele alır. Cihazların güvenlik yaması seviyesini nasıl kontrol edeceğinizi öğrenmek için Android sürümünüzü kontrol etme ve güncelleme bölümüne bakın.
Android iş ortakları, tüm sorunlar yayından en az bir ay önce bildirilir. Bu sorunlarla ilgili kaynak kodu yamaları, Android Açık Kaynak Projesi (AOSP) deposunda yayınlanmıştır ve bu bültende bağlantısı verilmiştir. Bu bültende AOSP dışındaki yamaların bağlantıları da yer alır.
Bu sorunların en ciddi olanı, Çerçeve bileşeninde yer alan ve ek yürütme ayrıcalıklarına ihtiyaç duymadan ayrıcalıkların yerel olarak artırılmasına yol açabilecek kritik bir güvenlik açığıdır. Önem derecesi, platform ve hizmet hafifletmelerinin geliştirme amacıyla kapatıldığı veya başarıyla atlandığı varsayılarak güvenlik açığından yararlanmanın etkilenen bir cihaz üzerinde olası etkisine dayanır.
Android güvenlik platformu korumaları ve Android platformunun güvenliğini iyileştiren Google Play Protect hakkında ayrıntılar için Android ve Google Play Protect çözümleri bölümüne bakın.
Android ve Google hizmeti çözümleri
Bu, Android güvenlik platformu ve Google Play Protect gibi hizmet korumaları tarafından sağlanan çözümlerin bir özetidir. Bu özellikler, Android'de güvenlik açıklarının başarılı bir şekilde kötüye kullanılma olasılığını azaltır.
- Android platformunun yeni sürümlerindeki geliştirmeler, Android'deki birçok sorunun istismar edilmesini zorlaştırmaktadır. Tüm kullanıcıların, mümkün olduğunda Android'in en son sürümüne güncelleme yapmalarını öneririz.
- Android güvenlik ekibi, Google Play Protect aracılığıyla kötüye kullanım olup olmadığını aktif olarak izlemektedir ve kullanıcıları Zararlı Olabilecek Uygulamalar hakkında uyarır. Google Play Protect, Google Mobil Hizmetleri bulunan cihazlarda varsayılan olarak etkindir ve özellikle Google Play dışından uygulama yükleyen kullanıcılar için önemlidir.
01.07.2024 güvenlik yaması düzeyindeki güvenlik açığı ayrıntıları
Aşağıdaki bölümlerde, 01.07.2024 yama düzeyi için geçerli olan güvenlik açıklarının her biri hakkında ayrıntılı bilgi verilmektedir. Güvenlik açıkları, etkiledikleri bileşenin altında gruplandırılır. Sorunlar aşağıdaki tablolarda açıklanmıştır. Bu sorunlar arasında CVE kimliği, ilişkili referanslar, güvenlik açığı türü, önem derecesi ve güncellenmiş AOSP sürümleri (geçerli olduğunda) yer alır. Kullanılabilir olduğunda, sorunu ele alan herkese açık değişikliği hata kimliğine (ör. AOSP değişiklik listesi) bağlarız. Tek bir hatayla ilgili birden çok değişiklik olduğunda, hata kimliğinden sonra gelen sayılara ek referanslar bağlanır. Android 10 ve sonraki sürümleri çalıştıran cihazlar Google Play sistem güncellemelerinin yanı sıra güvenlik güncellemeleri de alabilir.
Çerçeve
Bu bölümdeki en ciddi güvenlik açığı, ek yürütme ayrıcalıklarına ihtiyaç duymadan ayrıcalıkların yerel olarak artırılmasına yol açabilir.
| CVE | Referanslar | Tür | Önem derecesi | Güncellenen AOSP sürümleri |
|---|---|---|---|---|
| CVE-2024-31320 | A-329230490 [2] | EoP | Çok önemli | 12, 12L |
| CVE-2024-31331 | A-297517712 | EoP | Yüksek | 12, 12L, 13, 14 |
| CVE-2024-34720 | A-319081336 | EoP | Yüksek | 12, 12L, 13, 14 |
| CVE-2024-34723 | A-317048338 | EoP | Yüksek | 12, 12L, 13, 14 |
Sistem
Bu bölümdeki en ciddi güvenlik açığı, ek yürütme ayrıcalıklarına ihtiyaç duymadan ayrıcalıkların yerel olarak artırılmasına yol açabilir.
| CVE | Referanslar | Tür | Önem derecesi | Güncellenen AOSP sürümleri |
|---|---|---|---|---|
| CVE-2024-31332 | A-299931076 | EoP | Yüksek | 13, 14 |
| CVE-2024-31339 | A-292160348 | EoP | Yüksek | 12, 12L, 13, 14 |
| CVE-2024-34722 | A-251514170 | EoP | Yüksek | 12, 12L, 13, 14 |
| CVE-2024-34721 | A-294406604 | ID | Yüksek | 12, 12L, 13, 14 |
Google Play sistem güncellemeleri
Aşağıdaki sorunlar, Project Mainline bileşenlerine dahil edilir.
| Alt bileşen | CVE |
|---|---|
| Medya Sağlayıcısı | CVE-2024-34721 |
| İstatistik | CVE-2024-31339 |
05.07.2024 güvenlik yaması düzeyindeki güvenlik açığı ayrıntıları
Aşağıdaki bölümlerde, 05.07.2024 yama düzeyi için geçerli olan güvenlik açıklarının her biri hakkında ayrıntılı bilgi verilmektedir. Güvenlik açıkları, etkiledikleri bileşenin altında gruplandırılır. Sorunlar aşağıdaki tablolarda açıklanmıştır. Bu sorunlar arasında CVE kimliği, ilişkili referanslar, güvenlik açığı türü, önem derecesi ve güncellenmiş AOSP sürümleri (uygun olduğu durumlarda) yer alır. Kullanılabilir olduğunda, sorunu ele alan herkese açık değişikliği hata kimliğine (ör. AOSP değişiklik listesi) bağlarız. Tek bir hatayla ilgili birden çok değişiklik olduğunda, hata kimliğinden sonra gelen sayılara ek referanslar bağlanır.
Çekirdek
Bu bölümdeki güvenlik açığı, ek yürütme ayrıcalıklarına ihtiyaç duymadan ayrıcalıkların yerel olarak artırılmasına neden olabilir.
| CVE | Referanslar | Tür | Önem derecesi | Alt bileşen |
|---|---|---|---|---|
| CVE-2024-26923 |
A-336268889 Upstream çekirdek [2] [3] [4] |
EoP | Yüksek | Çekirdek |
Kol bileşenleri
Bu güvenlik açıkları, Arm bileşenlerini etkilemektedir. Daha ayrıntılı bilgiye doğrudan Arm'dan ulaşabilirsiniz. Bu sorunların önem derecesi doğrudan Arm tarafından sağlanır.
| CVE | Referanslar | Önem derecesi | Alt bileşen |
|---|---|---|---|
| CVE-2024-0153 |
A-302570828 * | Yüksek | Mali |
| CVE-2024-4610 |
A-260126994 * | Yüksek | Mali |
Hayal Gücü Teknolojileri
Bu güvenlik açıkları Imagination Technologies bileşenlerini etkilemektedir. Daha ayrıntılı bilgiye doğrudan Imagination Technologies'den ulaşabilirsiniz. Bu sorunların önem derecesi, doğrudan Imagination Technologies tarafından belirlenir.
| CVE | Referanslar | Önem derecesi | Alt bileşen |
|---|---|---|---|
| CVE-2024-31334 |
A-337947582 * | Yüksek | PowerVR-GPU |
| CVE-2024-31335 |
A-337951645 * | Yüksek | PowerVR-GPU |
| CVE-2024-34724 |
A-331437482 * | Yüksek | PowerVR-GPU |
| CVE-2024-34725 |
A-331438755 * | Yüksek | PowerVR-GPU |
| CVE-2024-34726 |
A-331439207 * | Yüksek | PowerVR-GPU |
MediaTek bileşenleri
Bu güvenlik açıkları MediaTek bileşenlerini etkilemektedir. Daha ayrıntılı bilgiye doğrudan MediaTek'ten ulaşabilirsiniz. Bu sorunların önem derecesi doğrudan MediaTek tarafından sağlanır.
| CVE | Referanslar | Önem derecesi | Alt bileşen |
|---|---|---|---|
| CVE-2024-20076 |
A-338887100 MOLY01297806 * |
Yüksek | Modem |
| CVE-2024-20077 |
A-338887097 MOLY01297807 * |
Yüksek | Modem |
Qualcomm bileşenleri
Bu güvenlik açıkları Qualcomm bileşenlerini etkiler ve uygun Qualcomm güvenlik bülteninde veya güvenlik uyarısında daha ayrıntılı olarak açıklanmıştır. Bu sorunların önem derecesi, doğrudan Qualcomm tarafından sağlanır.
| CVE | Referanslar | Önem derecesi | Alt bileşen |
|---|---|---|---|
| CVE-2024-23368 |
A-332315224 QC-CR#3522299 |
Yüksek | Çekirdek |
| CVE-2024-23372 |
A-332315102 QC-CR#3692589 [2] |
Yüksek | Ekran |
| CVE-2024-23373 |
A-332315050 QC-CR#3692564 [2] |
Yüksek | Ekran |
| CVE-2024-23380 |
A-332315362 QC-CR#3690718 [2] |
Yüksek | Ekran |
Qualcomm kapalı kaynak bileşenleri
Bu güvenlik açıkları, Qualcomm kapalı kaynak bileşenlerini etkilemektedir ve uygun Qualcomm güvenlik bülteninde veya güvenlik uyarısında daha ayrıntılı olarak açıklanmıştır. Bu sorunların önem derecesi, doğrudan Qualcomm tarafından sağlanır.
| CVE | Referanslar | Önem derecesi | Alt bileşen |
|---|---|---|---|
| CVE-2024-21461 |
A-318393487 * | Çok önemli | Kapalı kaynak bileşeni |
| CVE-2024-21460 |
A-318393435 * | Yüksek | Kapalı kaynak bileşeni |
| CVE-2024-21462 |
A-318394116 * | Yüksek | Kapalı kaynak bileşeni |
| CVE-2024-21465 |
A-318393702 * | Yüksek | Kapalı kaynak bileşeni |
| CVE-2024-21469 |
A-318393825 * | Yüksek | Kapalı kaynak bileşeni |
Sık sorulan sorular ve yanıtlar
Bu bölümde, bu bülteni okuduktan sonra aklınıza gelebilecek genel sorular yanıtlanmıştır.
1. Cihazımın bu sorunları giderecek şekilde güncellenip güncellenmediğini nasıl anlarım?
Cihazların güvenlik yaması seviyesini nasıl kontrol edeceğinizi öğrenmek için Android sürümünüzü kontrol etme ve güncelleme bölümüne bakın.
- 01.07.2024 veya sonraki bir güvenlik yaması düzeyleri, 01.07.2024 güvenlik yaması düzeyiyle ilgili tüm sorunları ele alır.
- 05.07.2024 veya sonraki tarihli güvenlik yaması düzeyleri, 05.07.2024 güvenlik yaması düzeyi ve önceki tüm yama düzeyleriyle ilgili tüm sorunları ele alır.
Bu güncellemeleri içeren cihaz üreticileri yama dizesi düzeyini şu şekilde ayarlamalıdır:
- [ro.build.version.security_yama]:[01.07.2024]
- [ro.build.version.security_yama]:[05.07.2024]
Android 10 veya sonraki sürümleri çalıştıran bazı cihazlar için Google Play sistem güncellemesinde, 01.07.2024 güvenlik yaması düzeyiyle eşleşen bir tarih dizesi bulunur. Güvenlik güncellemelerinin nasıl yükleneceğiyle ilgili daha fazla bilgi için lütfen bu makaleyi inceleyin.
2. Bu bültende neden iki güvenlik yaması düzeyi var?
Bu bültende iki güvenlik yaması düzeyi bulunmaktadır. Böylece Android iş ortakları, tüm Android cihazlarda benzer güvenlik açıklarının bir alt kümesini daha hızlı bir şekilde düzeltme esnekliğine sahip olur. Android iş ortaklarının bu bültendeki tüm sorunları düzeltmeleri ve en son güvenlik yaması düzeyini kullanmaları önerilir.
- 01.07.2024 güvenlik yaması düzeyini kullanan cihazlar, söz konusu güvenlik yaması düzeyiyle ilişkili tüm sorunların yanı sıra önceki güvenlik bültenlerinde bildirilen tüm sorunların çözümlerini de içermelidir.
- 05.07.2024 veya daha yeni güvenlik yaması düzeyini kullanan cihazlar, bu (ve önceki) güvenlik bültenlerindeki geçerli tüm yamaları içermelidir.
İş ortaklarının, ele aldıkları tüm sorunların çözümlerini tek bir güncellemede gruplandırması önerilir.
3. Tür sütunundaki girişler ne anlama geliyor?
Güvenlik açığı ayrıntıları tablosunun Tür sütunundaki girişler, güvenlik açığının sınıflandırmasına referans verir.
| Kısaltma | Tanım |
|---|---|
| RCE | Uzaktan kod yürütme |
| EoP | Ayrıcalık yükseltme |
| ID | Bilgilerin ifşa edilmesi |
| DoS | Hizmet reddi |
| Yok | Sınıflandırma yok |
4. Referanslar sütunundaki girişler ne anlama geliyor?
Güvenlik açığı ayrıntıları tablosunun Referanslar sütunundaki girişler, referans değerinin ait olduğu kuruluşu tanımlayan bir önek içerebilir.
| Ön numara | Referans |
|---|---|
| A- | Android hata kimliği |
| Kalite Kontrol | Qualcomm referans numarası |
| A- | MediaTek referans numarası |
| H- | NVIDIA referans numarası |
| B- | Broadcom referans numarası |
| U- | UNISOC referans numarası |
5. Referanslar sütununda Android hata kimliğinin yanında bulunan * işareti ne anlama gelir?
Herkese açık olmayan sayılarda, ilgili referans kimliğinin yanında * işareti bulunur. Bu sorunla ilgili güncelleme, genellikle Google Geliştirici sitesinde bulunan Pixel cihazlar için en yeni ikili program sürücülerinde yer alır.
6. Güvenlik açıkları bu bülten ile Pixel bülteni gibi cihaz / iş ortağı güvenlik bültenleri arasında neden ayrılıyor?
Android cihazlarda en son güvenlik yaması düzeyinin bildirilmesi için bu güvenlik bülteninde belirtilen güvenlik açıkları gereklidir. Güvenlik yaması düzeyini beyan etmek için cihaz / iş ortağı güvenlik bültenlerinde belirtilen ek güvenlik açıkları gerekli değildir. Android cihaz ve yonga seti üreticileri, Google, Huawei, LGE, Motorola, Nokia veya Samsung gibi ürünlerine özgü güvenlik açığı ayrıntılarını da yayınlayabilir.
Sürümler
| Sürüm | Tarih | Notlar |
|---|---|---|
| 1,0 | 1 Temmuz 2024 | Bülten Yayınlandı. |