Biuletyn na temat bezpieczeństwa w Androidzie zawiera szczegółowe informacje na temat zabezpieczeń Luki w zabezpieczeniach na urządzenia z Androidem. Poziomy poprawek zabezpieczeń 5 sierpnia 2024 r. lub później. Aby dowiedzieć się, jak to zrobić, aby sprawdzić stan aktualizacji zabezpieczeń urządzenia, zobacz Czek i zaktualizuj wersję Androida.
Partnerzy Androida są powiadamiani o wszystkich problemach co najmniej raz w miesiącu przed publikacją. Poprawki kodu źródłowego dla tych problemów będą opublikowane w repozytorium Android Open Source Project (AOSP) w w ciągu najbliższych 48 godzin. Poprawimy ten biuletyn wspólnie z AOSP , gdy są dostępne.
Najpoważniejszą z tych przyczyn jest wysokie bezpieczeństwo lukę w zabezpieczeniach w komponencie Framework, która może prowadzić do lokalnych eskalacja uprawnień bez dodatkowych uprawnień do wykonywania niezbędną. stopień ważności oceny zależy od efektu że wykorzystanie luki w zabezpieczeniach urządzenia, na którym wystąpił problem, przy założeniu, że stosowane są środki ograniczające ryzyko związane z platformą i usługą są wyłączone do celów programistycznych lub i ominęło.
Więcej informacji znajdziesz w artykule Android i Google Play. Sekcja dotycząca złagodzeń, w której znajdziesz szczegółowe informacje o zabezpieczeniach Androida. zabezpieczeń platformy i Google Play Protect, które poprawiają i zwiększa bezpieczeństwo platformy Androida.
Android oraz Środki łagodzące dla usług Google
To jest podsumowanie środków zaradczych oferowanych przez zabezpieczenia Androida zabezpieczeń platformy i usług, np. Google Play Protect. Te zmniejsza prawdopodobieństwo, że luki w zabezpieczeniach które mogły zostać wykorzystane na Androidzie.
- Wykorzystywanie wielu problemów na Androidzie jest coraz częstsze ze względu na trudności w nowszych wersjach Androida. platformy. Zachęcamy wszystkich użytkowników do i używanie wersji Androida.
- Zespół ds. bezpieczeństwa Androida aktywnie monitoruje nadużycia przez Google Play Protect i ostrzega o aplikacjach potencjalnie szkodliwych. Google Funkcja Play Protect jest domyślnie włączona na urządzeniach z Usługami mobilnymi Google i szczególnie ważne dla użytkowników, którzy instalują aplikacje spoza Google Graj.
Szczegóły luk w zabezpieczeniach na poziomie aktualizacji zabezpieczeń 01.08.2024
W sekcjach poniżej podajemy szczegółowe informacje o każdym luki w zabezpieczeniach występujące w poprawce z 1 sierpnia 2024 r. na poziomie 300%. Luki w zabezpieczeniach są grupowane w ramach komponentu, i innych kwestii. Problemy zostały opisane w tabelach poniżej i obejmują CVE identyfikator, powiązane pliki referencyjne, typ luki w zabezpieczeniach, waga, i zaktualizowanych wersji AOSP (gdzie ). Jeśli takie zmiany są dostępne, link do publicznej zmiany poprawił identyfikator błędu, np. listę zmian AOSP. Jeśli wiele zmian dotyczy jednego błędu, dodatkowe są powiązane z numerami po identyfikatorze błędu. Urządzenia z Androidem 10 i nowszym mogą otrzymywać aktualizacje zabezpieczeń, Aktualizacje systemowe Google Play.
Platforma
Najbardziej poważna luka w zabezpieczeniach w może doprowadzić do lokalnej eskalacji uprawnień bez potrzebne są dodatkowe uprawnienia do wykonywania.
| standard CVE | Pliki referencyjne | Typ | Poziom | Zaktualizowane wersje AOSP |
|---|---|---|---|---|
| CVE-2023–20971 | A-225880325 | eksploatacja | Wysoki | 12, 12 l, 13, 14 |
| CVE-2023-21351 | A-232798676 | eksploatacja | Wysoki | 12, 12 l, 13 |
| CVE-2024-34731 | A-319210610 [2] [3] [4] [5] | eksploatacja | Wysoki | 12, 12 l, 13, 14 |
| CVE-2024-34734 | A-304772709 | eksploatacja | Wysoki | 13, 14 |
| CVE-2024-34735 | 336490997 | eksploatacja | Wysoki | 12, 12 l, 13 |
| CVE-2024-34737 | A-283103220 | eksploatacja | Wysoki | 12, 12 l, 13, 14 |
| CVE-2024-34738 | A-336323279 | eksploatacja | Wysoki | 13, 14 |
| CVE-2024-34739 | A-294105066 | eksploatacja | Wysoki | 12, 12 l, 13, 14 |
| CVE-2024-34740 | A-307288067 [2] | eksploatacja | Wysoki | 12, 12 l, 13, 14 |
| CVE-2024-34741 | A-318683640 | eksploatacja | Wysoki | 12, 12 l, 13, 14 |
| CVE-2024-34743 | A-336648613 | eksploatacja | Wysoki | 14 |
| CVE-2024-34736 | 288549440 | ID | Wysoki | 12, 12 l, 13, 14 |
| CVE-2024-34742 | A-335232744 | ataki typu DoS | Wysoki | 14 |
System
Luka w zabezpieczeniach w tej sekcji może prowadzić do zdalnego ujawniania informacji bez konieczności wymagane uprawnienia do wykonywania.
| standard CVE | Pliki referencyjne | Typ | Poziom | Zaktualizowane wersje AOSP |
|---|---|---|---|---|
| CVE-2024-34727 | A-287184435 | ID | Wysoki | 12, 12 l, 13, 14 |
System Google Play aktualizacje
W systemie Google Play nie rozwiązano żadnych problemów z bezpieczeństwem (Project Mainline) w tym miesiącu.
Szczegóły luk w zabezpieczeniach na poziomie luki w zabezpieczeniach (05.08.2024 r.)
W sekcjach poniżej podajemy szczegółowe informacje o każdym luki w zabezpieczeniach wprowadzone przez poprawkę z 5 września 2024 r. na poziomie 300%. Luki w zabezpieczeniach są grupowane w ramach komponentu, i innych kwestii. Problemy zostały opisane w tabelach poniżej i obejmują CVE identyfikator, powiązane pliki referencyjne, typ luki w zabezpieczeniach, waga, i zaktualizowanych wersji AOSP (gdzie ). Jeśli takie zmiany są dostępne, link do publicznej zmiany poprawił identyfikator błędu, np. listę zmian AOSP. Jeśli wiele zmian dotyczy jednego błędu, dodatkowe są powiązane z numerami po identyfikatorze błędu.
Jądro
Luka w zabezpieczeniach w tej sekcji może prowadzić do zdalnego wykonywania kodu przez wykonanie przez system wymaganych uprawnień.
| standard CVE | Pliki referencyjne | Typ | Poziom | Składnik podrzędny |
|---|---|---|---|---|
| CVE-2024-36971 |
A-343727534 jądro poprzedzające [2] [3] [4] [5] [6] [7] [8] [9] [10101] |
RCE | Wysoki | Jądro |
Wysięgnik
Te luki w zabezpieczeniach wpływają na komponenty Arm i nie tylko jest dostępna bezpośrednio w Armii. Ocena wagi informacji dotyczących tych kwestii dostarcza bezpośrednio Arm.
| standard CVE | Pliki referencyjne | Poziom | Składnik podrzędny |
|---|---|---|---|
| CVE-2024-2937 |
A-339866012 * | Wysoki | Mali |
| CVE-2024-4607 |
A-339869945 * | Wysoki | Mali |
Imagination Technologies
Ta luka w zabezpieczeniach wpływa na komponenty firmy Imagination Technologies i szczegółowe informacje są dostępne bezpośrednio w firmie Imagination. Technologie. Podana jest ocena wagi tego problemu bezpośrednio przez Imagination Technologies.
| standard CVE | Pliki referencyjne | Poziom | Składnik podrzędny | |
|---|---|---|---|---|
| CVE-2024-31333 |
A-331435657 * | Wysoki | PowerVR-GPU |
Komponenty MediaTek
Ta luka w zabezpieczeniach wpływa na komponenty MediaTek i nie tylko są dostępne bezpośrednio w MediaTek. wagi, oceny tego problemu udostępnia bezpośrednio MediaTek.
| standard CVE | Pliki referencyjne | Poziom | Składnik podrzędny |
|---|---|---|---|
| CVE-2024–20082 |
A-344434139 M-MOLY01182594 * |
Wysoki | Modem |
Komponenty Qualcomm
Te luki w zabezpieczeniach mają wpływ na komponenty Qualcomm i są opisane bardziej szczegółowo w odpowiednich zabezpieczeniach Qualcomm biuletynu lub alertu bezpieczeństwa. Ocena wagi tych czynników jest dostarczana bezpośrednio przez Qualcomm.
| standard CVE | Pliki referencyjne | Poziom | Składnik podrzędny |
|---|---|---|---|
| CVE-2024-21478 |
A-323926460 QC-CR#3594987 |
Wysoki | Wyświetlacz |
| CVE-2024-23381 |
A-339043781 QC-CR#3701594 [2] |
Wysoki | Wyświetlacz |
| CVE-2024-23382 |
A-339043615 QC-CR#3704061 [2] |
Wysoki | Wyświetlacz |
| CVE-2024-23383 |
A-339042492 QC-CR#3707659 |
Wysoki | Wyświetlacz |
| CVE-2024-23384 |
A-339043323 QC-CR#3704870 [2] |
Wysoki | Wyświetlacz |
| CVE-2024-33010 |
A-339043396 QC-CR#3717571 |
Wysoki | WLAN |
| CVE-2024-33011 |
A-339043727 QC-CR#3717567 |
Wysoki | WLAN |
| CVE-2024-33012 |
A-339043053 QC-CR#3717566 |
Wysoki | WLAN |
| CVE-2024-33013 |
A-339042691 QC-CR#3710085 |
Wysoki | WLAN |
| CVE-2024-33014 |
A-339043382 QC-CR#3710081 |
Wysoki | WLAN |
| CVE-2024-33015 |
A-339043107 QC-CR#3710080 |
Wysoki | WLAN |
| CVE-2024-33018 |
A-339043500 QC-CR#3704796 |
Wysoki | WLAN |
| CVE-2024-33019 |
A-339043783 QC-CR#3704794 |
Wysoki | WLAN |
| CVE-2024-33020 |
A-339043480 QC-CR#3704762 |
Wysoki | WLAN |
| CVE-2024-33023 |
A-339043278 QC-CR#3702019 [2] |
Wysoki | Wyświetlacz |
| CVE-2024-33024 |
A-339043270 QC-CR#3700072 |
Wysoki | WLAN |
| CVE-2024-33025 |
A-339042969 QC-CR#3700045 |
Wysoki | WLAN |
| CVE-2024-33026 |
A-339043880 QC-CR#3699954 |
Wysoki | WLAN |
| CVE-2024-33027 |
A-316373168 QC-CR#3697522 |
Wysoki | Wyświetlacz |
| CVE-2024-33028 |
A-339043463 QC-CR#3694338 |
Wysoki | Wyświetlacz |
Środowisko zamknięte Qualcomm komponenty
Te luki w zabezpieczeniach mają wpływ na komponenty open source Qualcomm i zostały szczegółowo omówione w odpowiednim biuletyn o zabezpieczeniach lub alert bezpieczeństwa. Ocena wagi problemy te są dostarczane bezpośrednio przez Qualcomm.
| standard CVE | Pliki referencyjne | Poziom | Składnik podrzędny |
|---|---|---|---|
| CVE-2024-23350 |
A-323919259 * | Krytyczny | Komponent typu open source |
| CVE-2024-21481 |
A-323918669 * | Wysoki | Komponent typu open source |
| CVE-2024-23352 |
A-323918787 * | Wysoki | Komponent typu open source |
| CVE-2024-23353 |
A-323918845 * | Wysoki | Komponent typu open source |
| CVE-2024-23355 |
A-323918338 * | Wysoki | Komponent typu open source |
| CVE-2024-23356 |
A-323919081*, | Wysoki | Komponent typu open source |
| CVE-2024-23357 |
A-323919249 * | Wysoki | Komponent typu open source |
Częste pytania odpowiedzi
W tej sekcji znajdziesz odpowiedzi na najczęstsze pytania, które mogą wystąpić po za przeczytanie tego biuletynu.
1. Jak sprawdzić, czy moje urządzenie zostało zaktualizowane do i rozwiązać te problemy?
Aby dowiedzieć się, jak sprawdzić stan aktualizacji zabezpieczeń urządzenia, zobacz Sprawdzanie i aktualizowanie Androida wersji.
- Poprawki zabezpieczeń z 1 sierpnia 2024 r. lub nowsze problemy związane z poprawką zabezpieczeń z 1 sierpnia 2024 r. na poziomie 300%.
- Poprawki zabezpieczeń z 5.08.2024 lub nowszego dotyczą wszystkich problemy związane ze poprawką zabezpieczeń 5 sierpnia 2024 r. ze wszystkich poprzednich poziomów poprawek.
Producenci urządzeń, którzy uwzględniają te aktualizacje, powinni ustawić wartość popraw poziom ciągu znaków na:
- [ro.build.version.security_patch]:[1.08.2024]
- [ro.build.version.security_patch]:[5.08.2024]
Na niektórych urządzeniach z Androidem 10 lub nowszym aplikacja Google Play aktualizacja systemu będzie miała ciąg daty pasujący do 1.08.2024 i aktualizacji zabezpieczeń. Więcej informacji znajdziesz w tym artykule: jak zainstalować aktualizacje zabezpieczeń.
2. Dlaczego ten biuletyn zawiera dwie poprawki zabezpieczeń
Biuletyn ma dwa poziomy poprawek zabezpieczeń, dzięki czemu Android partnerzy mogą usuwać podzbiory luk w zabezpieczeniach, które są podobne na wszystkich urządzeniach z Androidem. Android, zachęcamy partnerów do rozwiązywania wszystkich problemów opisanych w tym biuletynie korzystać z najnowszego poziomu poprawek zabezpieczeń.
- Urządzenia korzystające ze stanu aktualizacji zabezpieczeń 1 sierpnia 2024 r. muszą obejmują wszystkie problemy związane z tym poziomem poprawek zabezpieczeń; a także rozwiązania wszystkich problemów zgłoszonych w ramach poprzednich zabezpieczeń. biuletyny.
- urządzeń z poprawkami zabezpieczeń z 5 sierpnia 2024 r. lub nowsze muszą zawierać wszystkie odpowiednie poprawki w tej sekcji (oraz biuletyny o zabezpieczeniach.
Zachęcamy partnerów do połączenia poprawek wszystkich problemów na które można się skupić w ramach jednej aktualizacji.
3. Do czego służą wpisy w kolumnie Typ ?
Wpisy w kolumnie Typ luki w zabezpieczeniach tabela ze szczegółami odnosi się do klasyfikacji zabezpieczenia czyli luki w zabezpieczeniach.
| Skrót | Definicja |
|---|---|
| RCE | Zdalne wykonywanie kodu |
| eksploatacja | Podniesienie uprawnień |
| ID | Ujawnianie informacji |
| ataki typu DoS | Atak typu DoS |
| Nie dotyczy | Klasyfikacja niedostępna |
4. Do czego służą wpisy w Odnośnikach średnia z kolumny?
Wpisy w kolumnie Pliki referencyjne Tabela z informacjami o lukach w zabezpieczeniach może zawierać prefiks identyfikujący organizacji, do której należy wartość referencyjna.
| Prefiks | Źródła wiedzy |
|---|---|
| A- | Identyfikator błędu Androida |
| QC- | Numer referencyjny Qualcomm |
| M | Numer referencyjny MediaTek |
| Pn | Numer referencyjny NVIDIA |
| B- | Numer referencyjny Broadcom |
| U | Numer referencyjny UNISOC |
5. Co oznacza symbol * obok identyfikatora błędu Androida w sekcji Średnia kolumny Odnośniki?
Problemy, które są niedostępne publicznie, są oznaczone symbolem * obok odpowiedni identyfikator referencyjny. Aktualizacja tego problemu to zazwyczaj zawarte w najnowszych sterownikach plików binarnych telefonu Pixel. urządzeń dostępnych w witrynę Google Developers.
6. Dlaczego luki w zabezpieczeniach są dzielone między te luki oraz biuletyny o zabezpieczeniach urządzeń / partnerów, takie jak Chcesz użyć newslettera Pixela?
Luki w zabezpieczeniach, które są udokumentowane w tym zabezpieczeniach Do zadeklarowania ostatniego poziomu poprawek zabezpieczeń wymagany jest biuletyn na urządzeniach z Androidem. Dodatkowe luki w zabezpieczeniach, które są udokumentowane w biuletynach dotyczących zabezpieczeń urządzenia / partnera i nie są wymagane do zadeklarowania poziomu aktualizacji zabezpieczeń. urządzenie z Androidem i Producenci chipsetów mogą również publikować luki w zabezpieczeniach. szczegóły dotyczące ich produktów, takie jak Google, Huawei, LGE, Motorola, Nokia czy Samsung.
Wersje
| Wersja | Data | Uwagi |
|---|---|---|
| 1,0 | 5 sierpnia 2024 r. | Opublikowano biuletyn. |