O boletim de segurança do Android contém detalhes de segurança vulnerabilidades que afetam dispositivos Android. Níveis do patch de segurança de 05/08/2024 ou depois disso. Para saber como para verificar o nível do patch de segurança do dispositivo, consulte Cheque e atualize a versão do Android.
Os parceiros Android são notificados sobre todos os problemas por pelo menos um mês antes da publicação. Os patches de código-fonte para esses problemas serão lançado no repositório do Android Open Source Project (AOSP) em nas próximas 48 horas. Vamos revisar este boletim com a versão do AOSP quando eles estiverem disponíveis.
O mais grave deles é uma alta insuficiência de no componente Framework que poderia levar a problemas escalonamento de privilégios sem privilégios de execução adicionais necessários. A gravidade avaliação é baseada no efeito que a exploração da vulnerabilidade teria em um dispositivo afetado, supondo que as mitigações de plataforma e serviço desativados para fins de desenvolvimento ou, se forem bem-sucedidos pode ser ignorado.
Consulte os artigos da Central de Ajuda Seção "Proteger mitigações" para ver detalhes sobre a segurança do Android de plataforma e o Google Play Protect, que melhoram pela segurança da plataforma Android.
Android e Mitigações de Serviços do Google
Este é um resumo das mitigações oferecidas pelo Certificado de proteções de plataforma e serviço, como o Google Play Protect. Esses reduz a probabilidade de as vulnerabilidades de segurança poderiam ser exploradas com sucesso no Android.
- A exploração de muitos problemas no Android fica cada vez mais as melhorias nas versões mais recentes do Android de plataforma. Recomendamos que todos os usuários atualizem para a versão mais recente do Android sempre que possível.
- A equipe de segurança do Android monitora ativamente abusos pelo Google Play Protect e avisa os usuários sobre aplicativos potencialmente nocivos. Google O Play Protect é ativado por padrão em dispositivos com os Serviços do Google Mobile e é especialmente importante para usuários que instalam apps de fora do Google Google Play.
Detalhes da vulnerabilidade do nível do patch de segurança de 01/08/2024
Nas seções abaixo, fornecemos detalhes para cada um dos vulnerabilidades de segurança que se aplicam ao patch de 01/08/2024 nível As vulnerabilidades são agrupadas no componente afetar. Os problemas são descritos nas tabelas abaixo e incluem o CVE ID, referências associadas, tipo de vulnerabilidade, gravidade, e versões atualizadas do AOSP (em que aplicável). Quando disponível, vinculamos a mudança pública que abordou o problema com o ID do bug, como a lista de mudanças do AOSP. Quando várias alterações estão relacionadas a um único bug, são vinculadas a números após o ID do bug. Dispositivos com o Android 10 e versões mais recentes, podem receber atualizações de segurança Atualizações do sistema do Google Play.
Framework
A vulnerabilidade mais grave da nessa seção pode levar a um escalonamento local de privilégios sem são necessários privilégios de execução adicionais.
| CVE | Referências | Tipo | Gravidade | Versões atualizadas do AOSP |
|---|---|---|---|---|
| CVE-2023-20971 | A-225880325 (link em inglês) | Fim do dia | Alta | 12, 12L, 13 e 14 |
| CVE-2023-21351 | A-232798676 (link em inglês) | Fim do dia | Alta | 12, 12L e 13 |
| CVE-2024-34731 | A-319210610 (link em inglês) [2] [3] [4] [5] | Fim do dia | Alta | 12, 12L, 13 e 14 |
| CVE-2024-34734 | A-304772709 (link em inglês) | Fim do dia | Alta | 13 e 14 |
| CVE-2024-34735 | A-336490997 (link em inglês) | Fim do dia | Alta | 12, 12L e 13 |
| CVE-2024-34737 | A-283103220 (link em inglês) | Fim do dia | Alta | 12, 12L, 13 e 14 |
| CVE-2024-34738 | A-336323279 (link em inglês) | Fim do dia | Alta | 13 e 14 |
| CVE-2024-34739 | A-294105066 (link em inglês) | Fim do dia | Alta | 12, 12L, 13 e 14 |
| CVE-2024-34740 | A-307288067 (link em inglês) [2] | Fim do dia | Alta | 12, 12L, 13 e 14 |
| CVE-2024-34741 | A-318683640 (link em inglês) | Fim do dia | Alta | 12, 12L, 13 e 14 |
| CVE-2024-34743 | A-336648613 (link em inglês) | Fim do dia | Alta | 14 |
| CVE-2024-34736 | A-288549440 (link em inglês) | ID | Alta | 12, 12L, 13 e 14 |
| CVE-2024-34742 | A-335232744 (link em inglês) | DoS (DoS) | Alta | 14 |
Sistema
A vulnerabilidade descrita nesta seção pode levar à divulgação remota de informações sem a necessidade os privilégios de execução necessários.
| CVE | Referências | Tipo | Gravidade | Versões atualizadas do AOSP |
|---|---|---|---|---|
| CVE-2024-34727 | A-287184435 (link em inglês) | ID | Alta | 12, 12L, 13 e 14 |
Sistema do Google Play atualizações
Nenhum problema de segurança foi resolvido no sistema do Google Play atualizações (Projeto Mainline) neste mês.
Detalhes da vulnerabilidade do nível do patch de segurança de 05/08/2024
Nas seções abaixo, fornecemos detalhes para cada um dos vulnerabilidades de segurança que se aplicam ao patch de 05/08/2024 nível As vulnerabilidades são agrupadas no componente afetar. Os problemas são descritos nas tabelas abaixo e incluem o CVE ID, referências associadas, tipo de vulnerabilidade, gravidade, e versões atualizadas do AOSP (em que aplicável). Quando disponível, vinculamos a mudança pública que abordou o problema com o ID do bug, como a lista de mudanças do AOSP. Quando várias alterações estão relacionadas a um único bug, são vinculadas a números após o ID do bug.
Kernel
A vulnerabilidade descrita nesta seção pode levar à execução remota de códigos com a execução do sistema os privilégios necessários.
| CVE | Referências | Tipo | Gravidade | Subcomponente |
|---|---|---|---|---|
| CVE-2024-36971 |
A-343727534 Kernel upstream [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] |
RCE | Alta | Kernel |
Componentes do braço
Essas vulnerabilidades afetam os componentes do Arm os detalhes estão disponíveis diretamente no Arm. Avaliação de gravidade desses problemas é fornecido diretamente pela Arm.
| CVE | Referências | Gravidade | Subcomponente |
|---|---|---|---|
| CVE-2024-2937 |
A-339866012 * | Alta | Mali |
| CVE-2024-4607 |
A-339869945 * | Alta | Mali |
Tecnologias de imaginação
Essa vulnerabilidade afeta componentes da Imagination Technologies e mais detalhes estão disponíveis diretamente na Imagination Tecnologias da nuvem. A avaliação da gravidade desse problema é fornecida diretamente da Imagination Technologies.
| CVE | Referências | Gravidade | Subcomponente | |
|---|---|---|---|---|
| CVE-2024-31333 |
A-331435657 * | Alta | PowerVR-GPU |
Componentes do MediaTek
Essa vulnerabilidade afeta os componentes do MediaTek e outros os detalhes estão disponíveis diretamente na MediaTek. A gravidade a avaliação desse problema é fornecida diretamente pela MediaTek.
| CVE | Referências | Gravidade | Subcomponente |
|---|---|---|---|
| CVE-2024-20082 |
A-344434139 M-MOLY01182594 * |
Alta | Modem |
Componentes da Qualcomm
Essas vulnerabilidades afetam os componentes da Qualcomm e descritos em mais detalhes nas seções de segurança da Qualcomm boletim informativo ou alerta de segurança. A avaliação da gravidade problemas são fornecidos diretamente pela Qualcomm.
| CVE | Referências | Gravidade | Subcomponente |
|---|---|---|---|
| CVE-2024-21478 |
A-323926460 QC-CR#3594987 |
Alta | Tela |
| CVE-2024-23381 |
A-339043781 QC-CR#3701594 [2] |
Alta | Tela |
| CVE-2024-23382 |
A-339043615 QC-CR#3704061 [2] |
Alta | Tela |
| CVE-2024-23383 |
A-339042492 QC-CR#3707659 |
Alta | Tela |
| CVE-2024-23384 |
A-339043323
QC-CR#3704870 [2] [3] [4] |
Alta | Tela |
| CVE-2024-33010 |
A-339043396 QC-CR#3717571 |
Alta | WLAN |
| CVE-2024-33011 |
A-339043727 QC-CR#3717567 |
Alta | WLAN |
| CVE-2024-33012 |
A-339043053 QC-CR#3717566 |
Alta | WLAN |
| CVE-2024-33013 |
A-339042691 QC-CR#3710085 |
Alta | WLAN |
| CVE-2024-33014 |
A-339043382 QC-CR#3710081 |
Alta | WLAN |
| CVE-2024-33015 |
A-339043107
QC-CR#3710080 |
Alta | WLAN |
| CVE-2024-33018 |
A-339043500 QC-CR#3704796 |
Alta | WLAN |
| CVE-2024-33019 |
A-339043783 QC-CR#3704794 |
Alta | WLAN |
| CVE-2024-33020 |
A-339043480 QC-CR#3704762 |
Alta | WLAN |
| CVE-2024-33023 |
A-339043278 QC-CR#3702019 [2] |
Alta | Tela |
| CVE-2024-33024 |
A-339043270 QC-CR#3700072 |
Alta | WLAN |
| CVE-2024-33025 |
A-339042969 QC-CR#3700045 |
Alta | WLAN |
| CVE-2024-33026 |
A-339043880 QC-CR#3699954 |
Alta | WLAN |
| CVE-2024-33027 |
A-316373168 QC-CR#3697522 |
Alta | Tela |
| CVE-2024-33028 |
A-339043463 QC-CR#3694338 |
Alta | Tela |
Código fechado da Qualcomm componentes
Essas vulnerabilidades afetam os componentes de código fechado da Qualcomm e são descritos em mais detalhes nas páginas da Qualcomm boletim ou alerta de segurança. A avaliação da gravidade esses problemas são fornecidos diretamente pela Qualcomm.
| CVE | Referências | Gravidade | Subcomponente |
|---|---|---|---|
| CVE-2024-23350 |
A-323919259 * | Critical | Componente de código fechado |
| CVE-2024-21481 |
A-323918669 * | Alta | Componente de código fechado |
| CVE-2024-23352 |
A-323918787 * | Alta | Componente de código fechado |
| CVE-2024-23353 |
A-323918845 * | Alta | Componente de código fechado |
| CVE-2024-23355 |
A-323918338 * | Alta | Componente de código fechado |
| CVE-2024-23356 (em inglês) |
A-323919081 * | Alta | Componente de código fechado |
| CVE-2024-23357 |
A-323919249 * | Alta | Componente de código fechado |
Perguntas comuns e respostas
Esta seção responde a perguntas comuns que podem ocorrer após lendo este boletim.
1. Como determino se meu dispositivo está atualizado para resolver esses problemas?
Para aprender a verificar o nível do patch de segurança de um dispositivo, consulte Verifique e atualize seu Android versão.
- Os níveis de patch de segurança de 01/08/2024 ou mais recente atendem a todos problemas associados ao patch de segurança de 01/08/2024 nível
- Os níveis de patch de segurança de 05/08/2024 ou mais recente atendem a todos problemas associados ao nível do patch de segurança de 05/08/2024 e todos os níveis de patch anteriores.
Os fabricantes de dispositivos que incluem essas atualizações devem definir os de nível da string de patch para:
- [ro.build.version.security_patch]:[2024-08-01]
- [ro.build.version.security_patch]:[2024-08-05]
Em alguns dispositivos com o Android 10 ou versões mais recentes, o Google Play a atualização do sistema vai ter uma string de data igual a 01/08/2024 nível do patch de segurança. Consulte este artigo para mais detalhes sobre como instalar atualizações de segurança.
2. Por que este boletim tem dois patches de segurança níveis?
Este boletim tem dois níveis de patch de segurança para que o Android os parceiros têm flexibilidade para corrigir um subconjunto de vulnerabilidades semelhantes em todos os dispositivos Android mais rapidamente. Android os parceiros são encorajados a corrigir todos os problemas neste boletim e use o nível mais recente do patch de segurança.
- Os dispositivos que usam o nível do patch de segurança de 01/08/2024 precisam incluir todos os problemas associados ao nível do patch de segurança, bem como correções de todos os problemas relatados em relatórios de segurança boletins informativos.
- Dispositivos que usam o nível de patch de segurança 05/08/2024 ou mais recentes devem incluir todos os patches aplicáveis neste (e anteriores) de segurança.
Incentivamos os parceiros a agrupar as correções de todos os problemas. que eles estão resolvendo em uma única atualização.
3. O que as entradas na coluna Tipo significa?
Entradas na coluna Tipo da vulnerabilidade de dados referem-se à classificação da estrutura a vulnerabilidade.
| Abreviatura | Definição |
|---|---|
| RCE | Execução remota de código |
| Fim do dia | Elevação do privilégio |
| ID | Divulgação de informações |
| DoS (DoS) | Negação de serviço |
| N/A | Classificação indisponível |
4. O que as entradas nas Referências média da coluna?
Entradas na coluna Referências do a tabela de detalhes da vulnerabilidade pode conter um prefixo que identifica organização à qual o valor de referência pertence.
| Prefixo | Referência |
|---|---|
| A- | ID do bug do Android |
| Controle de qualidade | Número de referência da Qualcomm |
| M- | Número de referência da MediaTek |
| N | Número de referência da NVIDIA |
| B- | Número de referência Broadcom |
| de | Número de referência do UNISOC |
5. O que faz um * ao lado do ID de bug do Android na References?
Os problemas que não estiverem disponíveis publicamente terão um * ao lado do ID de referência correspondente. A atualização desse problema incluídos nos drivers binários mais recentes do Pixel dispositivos disponíveis no Site para desenvolvedores do Google.
6. Por que as vulnerabilidades de segurança estão divididas entre isso e boletins informativos de dispositivos / parceiros, como Boletim do Pixel?
Vulnerabilidades de segurança documentadas neste documento precisam declarar o nível mais recente do patch de segurança em dispositivos Android. Outras vulnerabilidades de segurança que são documentadas nos boletins de segurança de dispositivos / parceiros não são necessária para declarar um nível de patch de segurança. dispositivo Android e os fabricantes de chipsets também podem publicar vulnerabilidades detalhes específicos dos produtos da empresa, como Google, Huawei, LGE, Motorola, Nokia ou Samsung.
Versões
| Versão | Data | Observações |
|---|---|---|
| 1.0 | 5 de agosto de 2024 | Boletim publicado. |