עדכון האבטחה של Android כולל פרטים בנושא אבטחה נקודות חולשה שמשפיעות על מכשירי Android. רמות של תיקוני אבטחה של 2024-08-05 ואילך תטפל בכל הבעיות האלה. כדי ללמוד איך כדי לבדוק את רמת תיקון האבטחה של מכשיר, תשלומים בהמחאות (צ'קים) ומעדכנים את גרסת Android.
שותפי Android מקבלים התראות על כל הבעיות לפחות חודש לפני הפרסום. תיקונים של קוד המקור לבעיות האלה יהיו הושק למאגר פרויקט הקוד הפתוח של Android (AOSP) במהלך 48 השעות הקרובות. נעדכן את המבזק הזה עם ה-AOSP קישורים שבהם הם זמינים.
הבעיה החמורה ביותר של הבעיות האלה היא נקודת חולשה ברכיב Framework שעלולה להוביל הסלמת הרשאות (privilege escalation) ללא הרשאות ביצוע נוספות הדרושים. רמת החומרה ההערכה מבוססת על ההשפעה שניצול נקודות החולשה עלול ליצור של המכשיר המושפע, בהנחה שהפלטפורמה והשירות המיטיגציות מושבתות למטרות פיתוח או אם הן מצליחות. נעקפה.
אפשר לעיין בAndroid וב-Google Play פרטים על האבטחה של Android בקטע 'הגנה על מיטיגציות' אמצעי הגנה על הפלטפורמות ו-Google Play Protect, שמשתפרים באבטחה של פלטפורמת Android.
Android ו- מיטיגציות בשירותי Google
זהו סיכום של המיטיגציות שמספקות האבטחה של Android בפלטפורמות שונות ובהגנות על שירותים, כמו Google Play Protect. האלה יכולות מפחיתות את הסבירות לפרצות אבטחה אפשרות לנצל בהצלחה ב-Android.
- הניצול של בעיות רבות ב-Android גדל קשה יותר לבצע שיפורים בגרסאות חדשות יותר של Android הפלטפורמה. אנחנו ממליצים לכל המשתמשים לעדכן של Android כשהדבר אפשרי.
- צוות האבטחה של Android עוקב באופן פעיל אחרי ניצול לרעה באמצעות Google Play Protect ומזהיר משתמשים לגבי אפליקציות שעלולות להזיק (PHA). Google Play Protect מופעל כברירת מחדל במכשירים עם שירותי Google לנייד, חשוב למשתמשים שמתקינים אפליקציות מחוץ ל-Google הפעלה.
פרטי נקודת חולשה ברמה של תיקון האבטחה בתאריך 08.08.2024
בסעיפים הבאים אנחנו מספקים פרטים על כל אחד נקודות חולשה באבטחה שחלות על התיקון בתאריך 1 באוגוסט 2024 ברמה. נקודות החולשה מקובצות בהתאם לרכיב שהן להשפיע. הבעיות מתוארות בטבלאות שבהמשך וכוללות CVE מזהה, הפניות משויכות, סוג נקודת חולשה, חומרה, וגרסאות AOSP מעודכנות רלוונטי). כאשר השינוי זמין, אנחנו מקשרים את השינוי הציבורי טיפל בבעיה באמצעות מזהה הבאג, למשל רשימת השינויים ב-AOSP. כאשר שינויים מרובים קשורים לבאג יחיד, הוספת הפניות מקושרות למספרים שמופיעים אחרי מזהה הבאג. מכשירים עם Android מגרסה 10 ואילך עשויים לקבל עדכוני אבטחה, וגם עדכוני מערכת של Google Play.
מסגרת
נקודת החולשה החמורה ביותר ב- הקטע הזה עלול להוביל להסלמת הרשאות מקומית (privilege escalation) נדרשות הרשאות ביצוע נוספות.
| CVE | קובצי עזר | סוג | מידת החומרה | גרסאות AOSP מעודכנות |
|---|---|---|---|---|
| CVE-2023-20971 | A-225880325 | ליש"ט | רחב | 12, 12L, 13, 14 |
| CVE-2023-21351 | A-232798676 | ליש"ט | רחב | 12, 12L, 13 |
| CVE-2024-34731 | A-319210610 [2] [3] [4] [5] | ליש"ט | רחב | 12, 12L, 13, 14 |
| CVE-2024-34734 | A-304772709 | ליש"ט | רחב | 13, 14 |
| CVE-2024-34735 | A-336490997 | ליש"ט | רחב | 12, 12L, 13 |
| CVE-2024-34737 | A-283103220 | ליש"ט | רחב | 12, 12L, 13, 14 |
| CVE-2024-34738 | A-336323279 | ליש"ט | רחב | 13, 14 |
| CVE-2024-34739 | A-294105066 | ליש"ט | רחב | 12, 12L, 13, 14 |
| CVE-2024-34740 | A-307288067 [2] | ליש"ט | רחב | 12, 12L, 13, 14 |
| CVE-2024-34741 | A-318683640 | ליש"ט | רחב | 12, 12L, 13, 14 |
| CVE-2024-34743 | A-336648613 | ליש"ט | רחב | 14 |
| CVE-2024-34736 | A-288549440 | מזהה | רחב | 12, 12L, 13, 14 |
| CVE-2024-34742 | A-335232744 | מניעת שירות (DoS) | רחב | 14 |
מערכת
נקודות החולשה בקטע הזה עלולה להוביל לחשיפת מידע מרחוק ללא צורך נדרשות הרשאות ביצוע.
| CVE | קובצי עזר | סוג | מידת החומרה | גרסאות AOSP מעודכנות |
|---|---|---|---|---|
| CVE-2024-34727 | A-287184435 | מזהה | רחב | 12, 12L, 13, 14 |
מערכת Google Play עדכונים
אין בעיות אבטחה שמטופלות במערכת של Google Play (Project Mainline) החודש.
פרטי נקודות חולשה ברמת תיקון האבטחה, 08.08.2024
בסעיפים הבאים אנחנו מספקים פרטים על כל אחד נקודות חולשה באבטחה שחלות על התיקון בתאריך 5.08.2024 ברמה. נקודות החולשה מקובצות בהתאם לרכיב שהן להשפיע. הבעיות מתוארות בטבלאות שבהמשך וכוללות CVE מזהה, הפניות משויכות, סוג נקודת חולשה, חומרה, וגרסאות AOSP מעודכנות הרלוונטי). כאשר השינוי זמין, אנחנו מקשרים את השינוי הציבורי טיפל בבעיה באמצעות מזהה הבאג, למשל רשימת השינויים ב-AOSP. כאשר שינויים מרובים קשורים לבאג יחיד, הוספת הפניות מקושרות למספרים שמופיעים אחרי מזהה הבאג.
ליבה
נקודות החולשה בקטע הזה עלולה להוביל להרצת קוד מרחוק עם הרצת המערכת נדרשות.
| CVE | קובצי עזר | סוג | מידת החומרה | רכיב משנה |
|---|---|---|---|---|
| CVE-2024-36971 |
A-343727534 ליבה (kernel) של Upstream [2] [3] [4] [5] [6] [7] [8] [9] [10] [19}10] |
RCE | רחב | ליבה |
רכיבי זרוע
נקודות החולשה האלה משפיעות על רכיבי הזרוע ועוד אפשר לקבל פרטים ישירות מ- Arm. הערכת חוּמרה הבעיות האלה מסופקות ישירות על ידי Arm.
| CVE | קובצי עזר | מידת החומרה | רכיב משנה |
|---|---|---|---|
| CVE-2024-2937 |
A-339866012 * | רחב | מאלי |
| CVE-2024-4607 |
A-339869945 * | רחב | מאלי |
טכנולוגיות דמיון
נקודת החולשה הזו משפיעה על רכיבים של Imagination Technologies ופרטים נוספים זמינים ישירות ב-Imagination טכנולוגיות. קיבלנו הערכה של חומרת הבעיה ישירות באמצעות Imagination Technologies.
| CVE | קובצי עזר | מידת החומרה | רכיב משנה | |
|---|---|---|---|---|
| CVE-2024-31333 |
A-331435657 * | רחב | PowerVR-GPU |
רכיבי MediaTek
נקודת החולשה הזו משפיעה על רכיבי MediaTek פרטים זמינים ישירות מ-MediaTek. חוּמרה ההערכה לגבי הבעיה הזו ניתנת ישירות על ידי MediaTek.
| CVE | קובצי עזר | מידת החומרה | רכיב משנה |
|---|---|---|---|
| CVE-2024-20082 |
A-344434139 M-MOLY01182594 * |
רחב | מודם |
רכיבי Qualcomm
נקודות החולשה האלה משפיעות על רכיבי Qualcomm שמתוארת בפירוט בסרטון האבטחה המתאים של Qualcomm מבזק או התראת אבטחה. הערכת החומרה של הפעולות האלה מסופקת ישירות על ידי Qualcomm.
| CVE | קובצי עזר | מידת החומרה | רכיב משנה |
|---|---|---|---|
| CVE-2024-21478 |
A-323926460 QC-CR#3594987 |
רחב | מסך |
| CVE-2024-23381 |
A-339043781 QC-CR#3701594 [2] |
רחב | מסך |
| CVE-2024-23382 |
A-339043615 QC-CR#3704061 [2] |
רחב | מסך |
| CVE-2024-23383 |
A-339042492 QC-CR#3707659 |
רחב | מסך |
| CVE-2024-23384 |
A-339043323 QC-CR#3704870 [2] |
רחב | מסך |
| CVE-2024-33010 |
A-339043396 QC-CR#3717571 |
רחב | רשת WLAN |
| CVE-2024-33011 |
A-339043727 QC-CR#3717567 |
רחב | רשת WLAN |
| CVE-2024-33012 |
A-339043053 QC-CR#3717566 |
רחב | רשת WLAN |
| CVE-2024-33013 |
A-339042691 QC-CR#3710085 |
רחב | רשת WLAN |
| CVE-2024-33014 |
A-339043382 QC-CR#3710081 |
רחב | רשת WLAN |
| CVE-2024-33015 |
A-339043107 QC-CR#3710080 |
רחב | רשת WLAN |
| CVE-2024-33018 |
A-339043500 QC-CR#3704796 |
רחב | רשת WLAN |
| CVE-2024-33019 |
A-339043783 QC-CR#3704794 |
רחב | רשת WLAN |
| CVE-2024-33020 |
A-339043480 QC-CR#3704762 |
רחב | רשת WLAN |
| CVE-2024-33023 |
A-339043278 QC-CR#3702019 [2] |
רחב | מסך |
| CVE-2024-33024 |
A-339043270 QC-CR#3700072 |
רחב | רשת WLAN |
| CVE-2024-33025 |
A-339042969 QC-CR#3700045 |
רחב | רשת WLAN |
| CVE-2024-33026 |
A-339043880 QC-CR#3699954 |
רחב | רשת WLAN |
| CVE-2024-33027 |
A-316373168 QC-CR#3697522 |
רחב | מסך |
| CVE-2024-33028 |
A-339043463 QC-CR#3694338 |
רחב | מסך |
מקור סגור של Qualcomm רכיבים
נקודות החולשה האלה משפיעות על רכיבי הקוד הסגור של Qualcomm והם מתוארים בפירוט רב יותר עדכון אבטחה דחופים או התראת אבטחה. הערכת החומרה של הבעיות האלה מסופקות ישירות על ידי Qualcomm.
| CVE | קובצי עזר | מידת החומרה | רכיב משנה |
|---|---|---|---|
| CVE-2024-23350 |
A-323919259 * | קריטי | רכיב ממקור סגור |
| CVE-2024-21481 |
A-323918669 * | רחב | רכיב ממקור סגור |
| CVE-2024-23352 |
A-323918787 * | רחב | רכיב ממקור סגור |
| CVE-2024-23353 |
A-323918845 * | רחב | רכיב ממקור סגור |
| CVE-2024-23355 |
A-323918338 * | רחב | רכיב ממקור סגור |
| CVE-2024-23356 |
A-323919081 * | רחב | רכיב ממקור סגור |
| CVE-2024-23357 |
A-323919249 * | רחב | רכיב ממקור סגור |
שאלות נפוצות תשובות
בקטע הזה מפורטות תשובות לשאלות נפוצות שעשויות להתרחש אחרי מקריאת המבזק הזה.
1. איך אדע אם המכשיר שלי מעודכן ל- ולטפל בבעיות האלה?
למידע על אופן הבדיקה של רמת תיקון האבטחה במכשיר, אפשר לבקר בכתובת בדיקה ועדכון של מכשיר Android .
- רמות תיקון האבטחה מגרסה 1.8.2024 ואילך: כולן בעיות שקשורות לתיקון האבטחה משנת 2024 ברמה.
- רמות תיקון האבטחה מגרסה 5.8.2024 ואילך: כל הכתובות שקשורות לרמת תיקון האבטחה ב-2024 באוגוסט 2024 בכל רמות התיקון הקודמות.
יצרני מכשירים שכוללים את העדכונים האלה צריכים להגדיר את תיקון רמת מחרוזת ל:
- [ro.build.version.security_patch]:[2024.08.01]
- [ro.build.version.security_patch]:[2024.08.05]
במכשירים מסוימים עם Android 10 ואילך, אפליקציית Google Play תהיה מחרוזת תאריך שתואמת לעדכון המערכת של 2024 באוגוסט 2024. רמת תיקון האבטחה. פרטים נוספים זמינים במאמר הזה על איך להתקין עדכוני אבטחה.
2. למה יש למבזק הזה שני תיקוני אבטחה רמות?
המבזק הזה כולל שתי רמות של תיקוני אבטחה, כך ש-Android לשותפים יש את הגמישות לתקן קבוצת משנה של נקודות חולשה דומים בכל מכשירי Android במהירות רבה יותר. במכשירי Android אנחנו ממליצים לשותפים לפתור את כל הבעיות בעלון הזה להשתמש ברמה האחרונה של תיקון האבטחה.
- במכשירים שבהם נעשה שימוש ברמה של תיקון האבטחה בגרסה 2024-08-01 לכלול את כל הבעיות שקשורות לרמת תיקון האבטחה הזו, וגם תיקונים לכל הבעיות שדווחו באבטחה הקודמת מבזקים.
- מכשירים שנעשה בהם שימוש ברמת תיקון האבטחה של 5 באוגוסט 2024, או חדש יותר חייב לכלול את כל התיקונים הרלוונטיים כאן (ו עדכוני אבטחה קודמים.
אנחנו ממליצים לשותפים לאגד את התיקונים של כל הבעיות הם עוסקים בעדכון יחיד.
3. מה כוללות הערכים בעמודה סוג כלומר?
ערכים בעמודה סוג של פרצת האבטחה טבלת הפרטים מתייחס לסיווג של נקודות החולשה.
| קיצור | הגדרה |
|---|---|
| RCE | ביצוע קוד מרחוק |
| ליש"ט | הרשאות ברמה גבוהה יותר |
| מזהה | חשיפת מידע |
| מניעת שירות (DoS) | התקפת מניעת שירות (DoS) |
| לא רלוונטי | הסיווג לא זמין |
4. מה עושה הערכים בקובצי עזר ממוצע עמודה?
רשומות בעמודה References (קובצי עזר) של טבלת פרטי נקודות החולשה עשויה להכיל קידומת שמתארת את הארגון שאליו שייך ערך ההפניה.
| תחילית | חומרי עזר |
|---|---|
| A- | מזהה באג ב-Android |
| QC- | מספר אסמכתה של Qualcomm |
| M- | מספר סימוכין של MediaTek |
| N- | מספר סימוכין של NVIDIA |
| B- | מספר סימוכין של Broadcom |
| U- | מספר סימוכין של UNISOC |
5. מה עושה * לצד מזהה הבאג ב-Android מה המשמעות של העמודה References (הפניות)?
ליד בעיות שלא זמינות לכולם יש סימן * מזהה ההפניה התואם. העדכון של הבעיה הזו הוא נמצאים בדרך כלל במנהלי ההתקנים הבינאריים העדכניים ביותר של Pixel למכשירים הזמינים באתר Google Developers.
6. למה נקודות החולשה באבטחה מתחלקות עלונים ועדכוני אבטחה של מכשיר / שותפים, כגון עדכון Pixel?
פרצות אבטחה שמתועדות באבטחה הזו נדרש להצהיר על הרמה האחרונה של תיקון האבטחה במכשירי Android. פרצות אבטחה נוספות המתועדים במכשיר או בעדכון האבטחה של השותף נדרשת להצהרה על רמת תיקון אבטחה. מכשיר Android ו יצרני ערכות שבבים עלולים גם לפרסם נקודות חולשה באבטחה פרטים ספציפיים למוצרים שלה, כמו Google, Huawei, LGE, Motorola, Nokia או Samsung.
גרסאות
| גרסה | תאריך | הערות |
|---|---|---|
| 1.0 | 5 באוגוסט 2024 | המבזק פורסם. |