Android のセキュリティに関する公開情報には、セキュリティの詳細を掲載しています。 Android デバイスに影響を与える脆弱性です。セキュリティ パッチレベル 2024-08-05 以降でこれらのすべての問題に対処しています。手順について詳しくは、 デバイスのセキュリティ パッチレベルを確認するには、以下をご覧ください。 確認 Android のバージョンを更新してください。
Android パートナーには、すべての問題が 1 か月以上通知されます 公開前に報告しますこれらの問題に対するソースコードのパッチは、 Android オープンソース プロジェクト(AOSP)リポジトリに 変更されます。AOSP はこの公開情報を改訂します リンクが表示されます。
これらの問題のうち最も重大度の高いものは、セキュリティ 脆弱性が特定され、ローカル システムに悪影響を及ぼす 追加の実行権限を持たない権限昇格 必要ありません。「 重大度 評価は、影響度に基づいて 潜在的な脆弱性を悪用された場合に プラットフォームとサービスでのリスク軽減策を前提とし、 アプリが開発目的または正常に機能することが バイパスされます。
詳しくは、Android と Google Play Android のセキュリティの詳細について、リスク軽減策の保護に関するセクションをご覧ください プラットフォームの保護や、Google Play プロテクトにより、 Android プラットフォームのセキュリティです。
Android と Google サービスでのリスク軽減策
ここでは、Android セキュリティ プラットフォームの保護と、Google Play プロテクトのようなサービスの保護が挙げられます。これらの セキュリティ脆弱性がリスクにさらされる可能性を この脆弱性が Android で悪用される可能性があります。
- Android 上の多くの問題の悪用が進む 新しいバージョンの Android では、 説明します。Google は、すべてのユーザーに対し、 ダウンロードする必要があります
- Android セキュリティ チームは、不正行為がないか積極的に監視しています。 Google Play プロテクトを無効化し、 有害な可能性があるアプリについてユーザーに公開すること。Google Play プロテクトは、Google モバイル サービスを搭載したデバイスではデフォルトで有効になっており、特に Google 以外からアプリをインストールするユーザーにとって重要 プレイする。
セキュリティ パッチレベル 2024-08-01 の脆弱性の詳細
以降のセクションでは、 パッチ 2024-08-01 に該当するセキュリティの脆弱性 できます。脆弱性は、影響を受けるコンポーネントごとに 影響します。問題の説明には CVE を記載 ID、関連する参照先、脆弱性のタイプ、 severity、 および更新された AOSP バージョン( あります)。Google は、一般公開の変更へのリンクを は、バグ ID(AOSP の変更の一覧など)の問題に対処しています。 複数の変更が同じバグに関係する場合は、 参照は、バグ ID の後に記載した番号にリンクされています。デバイス セキュリティ アップデートとその他のアップデートが Google Play システム アップデート。
フレームワーク
最も重大な脆弱性は、 権限の昇格や権限の昇格につながりかねません 追加の実行権限が必要です。
CVE | 参照 | タイプ | 重大度 | 更新対象の AOSP バージョン |
---|---|---|---|---|
CVE-2023-20971 | A-225880325 | EoP | 高 | 12、12L、13、14 |
CVE-2023-21351 | A-232798676 | EoP | 高 | 12、12L、13 |
CVE-2024-34731 | A-319210610 [2]。 [3]。 [4] [5] | EoP | 高 | 12、12L、13、14 |
CVE-2024-34734 | A-304772709 | EoP | 高 | 13、14 |
CVE-2024-34735 | A-336490997 | EoP | 高 | 12、12L、13 |
CVE-2024-34737 | A-283103220 | EoP | 高 | 12、12L、13、14 |
CVE-2024-34738 | A-336323279 | EoP | 高 | 13、14 |
CVE-2024-34739 | A-294105066 | EoP | 高 | 12、12L、13、14 |
CVE-2024-34740 | A-307288067 [2]。 | EoP | 高 | 12、12L、13、14 |
CVE-2024-34741 | A-318683640 | EoP | 高 | 12、12L、13、14 |
CVE-2024-34743 | A-336648613 | EoP | 高 | 14 |
CVE-2024-34736 | A-288549440 | ID | 高 | 12、12L、13、14 |
CVE-2024-34742 | A-335232744 | DoS | 高 | 14 |
システム
このセクションの脆弱性は、 追加の手口なしでリモートでの情報開示につながる 実行権限が必要です。
CVE | 参照 | タイプ | 重大度 | 更新対象の AOSP バージョン |
---|---|---|---|---|
CVE-2024-34727 | A-287184435 | ID | 高 | 12、12L、13、14 |
Google Play システム 更新
Google Play システムで対処されたセキュリティ問題はありません 更新(プロジェクト Mainline)を今月リリースしました。
セキュリティ パッチレベル 2024-08-05 の脆弱性の詳細
以降のセクションでは、 パッチ 2024-08-05 に該当するセキュリティの脆弱性 できます。脆弱性は、影響を受けるコンポーネントごとに 影響します。問題の説明には CVE を記載 ID、関連する参照先、脆弱性のタイプ、 severity、 および更新された AOSP バージョン( あります)。Google は、一般公開の変更へのリンクを は、バグ ID(AOSP の変更の一覧など)の問題に対処しています。 複数の変更が同じバグに関係する場合は、バグ ID の後に記載されている番号に、追加の参照へのリンクが設定されています。
カーネル
このセクションの脆弱性は、 システム実行でリモートコード実行につながる可能性がある 権限が必要です。
CVE | 参照 | タイプ | 重大度 | サブコンポーネント |
---|---|---|---|---|
CVE-2024-36971 |
A-343727534 アップストリーム カーネル [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] |
RCE | 高 | カーネル |
Arm コンポーネント
これらの脆弱性は、Arm コンポーネントだけでなく、 詳細については Arm から直接入手できます。重大度の評価 Arm から直接提供されたものです
CVE | 参照 | 重大度 | サブコンポーネント |
---|---|---|---|
CVE-2024-2937 |
A-339866012 * | 高 | Mali |
CVE-2024-4607 |
A-339869945 * | 高 | Mali |
Imagination Technologies
この脆弱性は Imagination Technologies コンポーネントに影響を与えます 詳細は Imagination から直接入手できます テクノロジー。この問題の重大度の評価は、 Imagination Technologies が直接提供します
CVE | 参照 | 重大度 | サブコンポーネント | |
---|---|---|---|---|
CVE-2024-31333 |
A-331435657 * | 高 | PowerVR-GPU |
MediaTek コンポーネント
この脆弱性は MediaTek コンポーネント、さらには MediaTek から直接入手できます。重大度 この問題の評価は MediaTek から直接提供されたものです。
CVE | 参照 | 重大度 | サブコンポーネント |
---|---|---|---|
CVE-2024-20082 |
A-344434139 M-MOLY01182594 * |
高 | モデム |
Qualcomm コンポーネント
Qualcomm コンポーネントに影響する脆弱性は次のとおりです。 詳細は、該当する Qualcomm セキュリティ 公開できますこれらの重大度の評価は、 Qualcomm から直接提供されたものです。
CVE | 参照 | 重大度 | サブコンポーネント |
---|---|---|---|
CVE-2024-21478 |
A-323926460 QC-CR#3594987 |
高 | ディスプレイ |
CVE-2024-23381 |
A-339043781 QC-CR#3701594 [2] |
高 | ディスプレイ |
CVE-2024-23382 |
A-339043615 QC-CR#3704061 [2] |
高 | ディスプレイ |
CVE-2024-23383 |
A-339042492 QC-CR#3707659 |
高 | ディスプレイ |
CVE-2024-23384 |
A-339043323 QC-CR#3704870 [2] |
高 | ディスプレイ |
CVE-2024-33010 |
A-339043396 QC-CR#3717571 |
高 | WLAN |
CVE-2024-33011 |
A-339043727 QC-CR#3717567 |
高 | WLAN |
CVE-2024-33012 |
A-339043053 QC-CR#3717566 |
高 | WLAN |
CVE-2024-33013 |
A-339042691 QC-CR#3710085 |
高 | WLAN |
CVE-2024-33014 |
A-339043382 QC-CR#3710081 |
高 | WLAN |
CVE-2024-33015 |
A-339043107 QC-CR#3710080 |
高 | WLAN |
CVE-2024-33018 |
A-339043500 QC-CR#3704796 |
高 | WLAN |
CVE-2024-33019 |
A-339043783 QC-CR#3704794 |
高 | WLAN |
CVE-2024-33020 |
A-339043480 QC-CR#3704762 |
高 | WLAN |
CVE-2024-33023 |
A-339043278 QC-CR#3702019 [2] |
高 | ディスプレイ |
CVE-2024-33024 |
A-339043270 QC-CR#3700072 |
高 | WLAN |
CVE-2024-33025 |
A-339042969 QC-CR#3700045 |
高 | WLAN |
CVE-2024-33026 |
A-339043880 QC-CR#3699954 |
高 | WLAN |
CVE-2024-33027 |
A-316373168 QC-CR#3697522 |
高 | ディスプレイ |
CVE-2024-33028 |
A-339043463 QC-CR#3694338 |
高 | ディスプレイ |
Qualcomm クローズドソース コンポーネント
Qualcomm クローズドソース コンポーネントに影響する脆弱性は次のとおりです。 その詳細は、該当する Qualcomm アラートを作成することもできます。この一連の問題の重大度は Qualcomm から直接提供されたものです。
CVE | 参照 | 重大度 | サブコンポーネント |
---|---|---|---|
CVE-2024-23350 |
A-323919259 * | 重大 | クローズドソース コンポーネント |
CVE-2024-21481 |
A-323918669 * | 高 | クローズドソース コンポーネント |
CVE-2024-23352 |
A-323918787 * | 高 | クローズドソース コンポーネント |
CVE-2024-23353 |
A-323918845 * | 高 | クローズドソース コンポーネント |
CVE-2024-23355 |
A-323918338 * | 高 | クローズドソース コンポーネント |
CVE-2024-23356 |
A-323919081 * | 高 | クローズドソース コンポーネント |
CVE-2024-23357 |
A-323919249 * | 高 | クローズドソース コンポーネント |
よくある質問と 回答
このセクションでは、 この公開情報を読んでいます
1. デバイスが以下に更新されているかどうかを確かめるには、どうすればよいですか? どのように対処しますか?
デバイスのセキュリティ パッチレベルを確認する方法については、以下をご覧ください。 Android スマートフォンを確認して更新する version。
- セキュリティ パッチレベル 2024-08-01 以降では、すべての問題に対処しています セキュリティ パッチレベル 2024-08-01 に関連する問題 できます。
- セキュリティ パッチレベル 2024-08-05 以降では、すべての問題に対処しています セキュリティ パッチレベル 2024-08-05 に関連する問題 すべてのパッチレベルを追跡できます
デバイス メーカーは、こうしたアップデートを組み込む場合、 パッチ文字列のレベルを以下に変更します。
- [ro.build.version.security_patch]:[2024 年 8 月 1 日]
- [ro.build.version.security_patch]:[2024 年 8 月 5 日]
Android 10 以降を搭載した一部のデバイスでは、Google Play システム アップデートには、2024-08-01 に一致する日付文字列が含まれます。 適用できます。詳しくは、こちらの記事をご覧ください。 セキュリティ アップデートのインストール方法についても学びました。
2. この公開情報に 2 つのセキュリティ パッチレベルがあるのはなぜですか?
この公開情報では、2 つのセキュリティ パッチレベルを定義しています。これにより、Android は パートナーは、脆弱性のサブセットを柔軟に修正可能 すべての Android デバイスで同様の傾向が見られます。Android パートナーは、この公開情報に掲載されている問題をすべて修正し、 最新のセキュリティ パッチレベルを使用する。
- セキュリティ パッチレベル 2024-08-01 を使用するデバイスは、 そのセキュリティ パッチレベルに関連するすべての問題を含む 以前のセキュリティで報告されたすべての問題の修正も行います。 公開します。
- セキュリティ パッチレベル 2024-08-05 または 該当するすべてのパッチを本ドキュメントに セキュリティに関する公開情報を探します。
パートナー様は、すべての問題の修正をバンドルすることをおすすめします 1 回のアップデートで対処できます
3. 「タイプ」列の項目はどういう意味ですか?
脆弱性のタイプ列のエントリ 詳細テーブルは、セキュリティの分類と 脆弱性です。
略語 | 定義 |
---|---|
RCE | リモートコード実行 |
EoP | 権限昇格 |
ID | 情報開示 |
DoS | サービス拒否攻撃 |
なし | 該当する分類なし |
4. 「References」項目にはどのような項目がありますか。 列の意味は?
References 列の下のエントリは、 脆弱性の詳細の表に、脆弱性の詳細を示す接頭辞が含まれる場合があります。 どの組織にも属します。
接頭辞 | 参照 |
---|---|
A- | Android バグ ID |
QC- | Qualcomm の参照番号 |
M- | MediaTek の参照番号 |
N- | NVIDIA の参照番号 |
B- | Broadcom の参照番号 |
U- | UNISOC の参照番号 |
5. 「参照」列の Android バグ ID の横にある「*」はどういう意味ですか?
公開されていない問題には、 対応する参照 ID を指定しますこの問題のアップデートは Pixel 用最新バイナリ ドライバに通常含まれています デバイスを Google Developers サイト:
6. セキュリティの脆弱性がこれらの 2 つに や、デバイスやパートナーのセキュリティに関する公開情報、 Google Pixel のセキュリティに関する公開情報ですか?
このセキュリティで文書化されているセキュリティの脆弱性 最新のセキュリティ パッチレベルを宣言するためには、公開情報が必要です 利用できますその他のセキュリティの脆弱性 デバイス / パートナーのセキュリティに関する公開情報に掲載されている セキュリティ パッチ レベルを宣言するために必要です。Android デバイスと チップセットのメーカーは、セキュリティ脆弱性を Google、Huawei、LGE、Motorola、Nokia、Samsung など、製品に固有の詳細情報
バージョン
バージョン | 日付 | メモ |
---|---|---|
1.0 | 2024 年 8 月 5 日 | 情報公開。 |