此页面由 Cloud Translation API 翻译。

Android 安全公告 - 2024 年 8 月

发布时间：2024 年 8 月 5 日

Android 安全公告详细介绍了会影响 Android 设备的漏洞。安全补丁级别 2024 年 8 月 5 日或之后提交的更新解决了所有这些问题。了解查看设备的安全补丁级别支票并更新您的 Android 版本。

Android 合作伙伴至少在一个月内就收到所有问题的通知。针对这些问题的源代码补丁将已在 Android 开源项目 (AOSP) 代码库中。届时，我们将根据链接。

这些问题中危险性最高的是安全性较高可能会导致本地漏洞升级权限，没有额外的执行权限所需的资源。通过严重程度评估的依据是利用这些漏洞可能会导致受影响的设备（假设存在平台和服务缓解措施）会出于开发目的而停用。

请参阅 Android 和 Google Play 有关 Android 安全性的详细信息部分，请参阅“保护缓解措施”部分平台保护和 Google Play 保护机制， Android 平台的安全性

Android 和 Google 服务缓解措施

这一部分总结了 Android 安全平台和服务防护功能，例如 Google Play 保护机制。这些有助于降低可能在 Android 上被成功利用

Android 上许多问题被利用的可能性更高较新版本的 Android 中平台。我们建议所有用户都更新到 Android 版本。
Android 安全团队会积极监控滥用行为使用 Google Play 保护机制，并向用户发出警告潜在有害应用的相关信息。Google 在安装有 Google 移动服务的设备上，Play 保护机制会默认处于启用状态，对于从 Google 以外的来源安装应用的用户来说至关重要开始游戏。

。

2024-08-01 安全补丁级别漏洞详情

我们在下面提供了有关 2024-08-01 补丁涵盖的安全漏洞。漏洞列在影响。下表对问题进行了说明，包括 CVE ID、相关参考编号、漏洞类型、 severity、和经过更新的 AOSP 版本（其中适用）。如果有公开更改，我们会将解决了该问题的 bug ID，例如 AOSP 变更列表。如果某个 bug 有多条相关的更改记录，我们还会参考编号链接到 bug ID 后面的数字。设备 Android 10 及更高版本的用户可能会收到安全更新 Google Play 系统更新。

框架

以下各项中最严重的漏洞：此部分可能会导致权限在本地升级，并且没有需要额外的执行权限。

CVE	参考编号	类型	严重程度	已更新的 AOSP 版本
CVE-2023-20971	A-225880325	EoP	高	12、12L、13、14
CVE-2023-21351	A-232798676	EoP	高	12、12L、13
CVE-2024-34731	A-319210610 [2] [3] [4] [5]	EoP	高	12、12L、13、14
CVE-2024-34734	A-304772709	EoP	高	13, 14
CVE-2024-34735	A-336490997	EoP	高	12、12L、13
CVE-2024-34737	A-283103220	EoP	高	12、12L、13、14
CVE-2024-34738	A-336323279	EoP	高	13, 14
CVE-2024-34739	A-294105066	EoP	高	12、12L、13、14
CVE-2024-34740	A-307288067 [2]	EoP	高	12、12L、13、14
CVE-2024-34741	A-318683640	EoP	高	12、12L、13、14
CVE-2024-34743	A-336648613	EoP	高	14
CVE-2024-34736	A-288549440	ID	高	12、12L、13、14
CVE-2024-34742	A-335232744	DoS	高	14

系统

本部分中的漏洞即使没有额外说明，需要执行特权。

CVE	参考编号	类型	严重程度	已更新的 AOSP 版本
CVE-2024-34727	A-287184435	ID	高	12、12L、13、14

Google Play 系统最新动态

Google Play 系统中未解决任何安全问题更新 (Project Mainline)。

2024-08-05 安全补丁级别漏洞详情

我们在下面提供了有关 2024-08-05 补丁涵盖的安全漏洞。漏洞列在影响。下表对问题进行了说明，包括 CVE ID、相关参考编号、漏洞类型、 severity、和经过更新的 AOSP 版本（其中适用）。如果有公开更改，我们会将解决了该问题的 bug ID，例如 AOSP 变更列表。如果某个 bug 有多条相关的更改记录，我们还通过 bug ID 后面的数字链接到了更多参考内容。

内核

本部分中的漏洞可通过系统执行远程执行代码需要权限。

CVE	参考编号	类型	严重程度	子组件
CVE-2024-36971	A-343727534 上游内核 [2] [3] [4] [5] [6] [7] [8] [9] [10] [] [	RCE	高	内核

Arm 组件

以下漏洞会影响 ARM 组件，并进一步均可直接从 Arm 获取详细信息。严重程度评估这些问题由 Arm 直接提供。

CVE	参考编号	严重程度	子组件
CVE-2024-2937	A-339866012 *	高	马里
CVE-2024-4607	A-339869945 *	高	Mali

Imagination Technologies

此漏洞会影响 Imagination Technologies 组件如需了解更多详情，请访问 Imagination 技术。已提供此问题的严重程度评估由 Imagination Technologies 直接销售

CVE	参考编号		严重程度	子组件
CVE-2024-31333	A-331435657 *	高	PowerVR-GPU

MediaTek 组件

此漏洞会影响 MediaTek 组件，并进一步请直接从 MediaTek 获取详细信息。严重程度此问题的评估由 MediaTek 直接提供。

CVE	参考编号	严重程度	子组件
CVE-2024-20082	A-344434139 M-MOLY01182594 *	高	调制解调器

Qualcomm 组件

以下漏洞会影响 Qualcomm 组件，相应的 Qualcomm 安全性公告或安全提醒这些 API 的严重程度评估由 Qualcomm 直接提供。

CVE	参考编号	严重程度	子组件
CVE-2024-21478	A-323926460 QC-CR#3594987	高	显示
CVE-2024-23381	A-339043781 QC-CR#3701594 [2]	高	显示
CVE-2024-23382	A-339043615 QC-CR#3704061 [2]	高	显示
CVE-2024-23383	A-339042492 QC-CR#3707659	高	显示
CVE-2024-23384	A-339043323 QC-CR#3704870 [2]	高	显示
CVE-2024-33010	A-339043396 QC-CR#3717571	高	WLAN
CVE-2024-33011	A-339043727 QC-CR#3717567	高	WLAN
CVE-2024-33012	A-339043053 QC-CR#3717566	高	WLAN
CVE-2024-33013	A-339042691 QC-CR#3710085	高	WLAN
CVE-2024-33014	A-339043382 QC-CR#3710081	高	WLAN
CVE-2024-33015	A-339043107 QC-CR#3710080	高	WLAN
CVE-2024-33018	A-339043500 QC-CR#3704796	高	WLAN
CVE-2024-33019	A-339043783 QC-CR#3704794	高	WLAN
CVE-2024-33020	A-339043480 QC-CR#3704762	高	WLAN
CVE-2024-33023	A-339043278 QC-CR#3702019 [2]	高	显示
CVE-2024-33024	A-339043270 QC-CR#3700072	高	WLAN
CVE-2024-33025	A-339042969 QC-CR#3700045	高	WLAN
CVE-2024-33026	A-339043880 QC-CR#3699954	高	WLAN
CVE-2024-33027	A-316373168 QC-CR#3697522	高	显示
CVE-2024-33028	A-339043463 QC-CR#3694338	高	显示

Qualcomm 闭源组件

以下漏洞会影响 Qualcomm 闭源组件在相应的 Qualcomm 安全公告或安全提醒这些问题的严重程度评估是由 Qualcomm 直接提供的。

CVE	参考编号	严重程度	子组件
CVE-2024-23350	A-323919259 *	严重	闭源组件
CVE-2024-21481	A-323918669 *	高	闭源组件
CVE-2024-23352	A-323918787 *	高	闭源组件
CVE-2024-23353	A-323918845 *	高	闭源组件
CVE-2024-23355	A-323918338 *	高	闭源组件
CVE-2024-23356	A-323919081 *	高	闭源组件
CVE-2024-23357	A-323919249 *	高	闭源组件

常见问题和回答

这一部分解答了。

1. 如何确定我的设备是否已更新到能否解决这些问题？

如需了解如何查看设备的安全补丁级别，请参阅查看并更新 Android 设备 version。

如果安全补丁级别是 2024-08-01 或更新，就意味着已解决本公告中所述的所有问题与 2024-08-01 安全补丁相关的问题。
如果安全补丁级别是 2024-08-05 或更新，就意味着已解决本公告中所述的所有问题与 2024-08-05 安全补丁级别相关的问题以及之前的所有补丁级别

预装这些更新的设备制造商应将将字符串级别修补为：

[ro.build.version.security_patch]:[2024-08-01]
[ro.build.version.security_patch]:[2024-08-05]

对于某些搭载 Android 10 或更高版本的设备，Google Play 系统更新的日期字符串将与 2024-08-01 一致安全补丁级别请参阅这篇文章，详细了解如何安装安全更新

2. 为何本公告有 2 个安全补丁级别？

本公告有 2 个安全补丁级别合作伙伴可以灵活地修复一部分漏洞所有 Android 设备上类似的新变化。Android 设备我们建议合作伙伴修正本公告中的所有问题，并使用最新的安全补丁级别。

如果设备使用的是 2024-08-01 这一安全补丁级别，就必须遵守包含与该安全补丁级别相关的所有问题以及针对之前的“安全性”标签页中列出的所有问题的发布公告
安全补丁级别为 2024-08-05 或必须包含此（以及安全公告。

我们建议合作伙伴将所有问题的修复程序打包到一起在一次更新中解决的问题

3. “类型”列中的条目表示什么意思？

漏洞的“类型”列中的条目安全分类、漏洞

缩写词	定义
RCE	远程代码执行
EoP	提权
ID	信息披露
DoS	拒绝服务攻击
N/A	没有分类

4. 参考中的条目列平均值？

“参考编号”列中漏洞详情表可能包含用于标识引用值所属的组织。

前缀	参考编号
A-	Android bug ID
QC-	Qualcomm 参考编号
M-	MediaTek 参考编号
N-	NVIDIA 参考编号
B-	Broadcom 参考编号
U-	UNISOC 参考编号

5. 在“参考编号”列中，Android bug ID 旁边的 * 表示什么意思？

如果问题尚未公开发布，相应的参考 ID。针对该问题的更新是通常包含在 Pixel 的最新二进制驱动程序中 Google Developers 网站。

6. 为什么要将安全漏洞拆分到以及设备 / 合作伙伴安全公告，例如 Pixel 公告？

此安全漏洞中记录的安全漏洞必须提供公告才能声明最新的安全补丁级别。其他安全漏洞设备 / 合作伙伴安全公告中记录的是声明安全补丁级别所必需的。Android 设备和芯片组制造商也可能会发布安全漏洞（如 Google、华为、LGE、摩托罗拉、诺基亚或三星）。

版本

版本	日期	备注
1.0	2024 年 8 月 5 日	发布了本公告。