Boletín de seguridad de Android: junio de 2024

Publicado el 3 de junio de 2024 | Actualización: 13 de agosto de 2024

El Boletín de seguridad de Wear OS contiene detalles sobre las vulnerabilidades de seguridad que afectan la plataforma de Wear OS. La actualización completa de Wear OS incluye el nivel de parche de seguridad 2024-06-05 o más adelante en el Boletín de seguridad de Android de junio de 2024, además de problemas en este boletín.

Recomendamos a todos los clientes que acepten estas actualizaciones en sus dispositivos.

El más grave de estos problemas es una vulnerabilidad de seguridad alta en el Framework que podría conducir a la elevación local de privilegios sin privilegios de ejecución adicionales necesarios. La evaluación de gravedad se basa en el efecto que que podría aprovechar la vulnerabilidad en un dispositivo afectado, suponiendo que las mitigaciones de la plataforma y los servicios estén desactivadas para el desarrollo, o si se puede omitir con éxito.

Anuncios

  • Además de las vulnerabilidades de seguridad descritas en la guía el Boletín de seguridad de Android y el de junio de 2024, también contiene parches específicamente para vulnerabilidades de Wear OS, como se describe a continuación.

1/6/2024 detalles de vulnerabilidades a nivel de parche de seguridad

En las siguientes secciones, proporcionamos detalles sobre cada una de las vulnerabilidades que se aplican al nivel de parche 01/06/2024. Las vulnerabilidades se agrupan bajo el componente que afectan. Los problemas se describen en las siguientes tablas e incluyen el ID de CVE, asociado referencias, tipo de vulnerabilidad, gravedad, y versiones actualizadas del AOSP (si corresponde). Cuando esté disponible, vincularemos el cambio público que solucionó el problema a la ID de errores, como la lista de cambios de AOSP. Cuando varios cambios se relacionan con un solo error, las referencias adicionales son se vinculan a números después del ID del error. Los dispositivos con Android 10 y versiones posteriores pueden recibir actualizaciones de seguridad, así como Google Actualizaciones del sistema de Play

Framework

La vulnerabilidad en esta sección podría conducir a una elevación local de privilegios sin privilegios de ejecución adicionales.

CVE Referencias Tipo Gravedad Versiones del AOSP actualizadas
CVE‐2024‐31328 A-319101158 Fin Alto 13

Sistema

La vulnerabilidad más grave en esta sección podría conducir a una derivación local. sin privilegios de ejecución adicionales.

CVE Referencias Tipo Gravedad Versiones del AOSP actualizadas
CVE‐2024‐31329 A-310686440 Fin Alto 13

Preguntas y respuestas frecuentes

En esta sección, se responden preguntas comunes que pueden surgir después de leer esta en el boletín informativo.

1. ¿Cómo puedo determinar si mi dispositivo está actualizado para abordar estas situaciones? problemas?

Para saber cómo comprobar el nivel de parche de seguridad de un dispositivo, lee el instrucciones en la Programa de actualización de dispositivos de Google

  • Niveles de parche de seguridad del 1-6-2024-06-01 o la dirección posterior todos los problemas asociados con el parche de seguridad del 1/6/2024 o a nivel de organización.

Los fabricantes de dispositivos que incluyen estas actualizaciones deben establecer el parche. nivel de cadena a:

  • [ro.build.version.security_patch]:[2024-06-01]

En algunos dispositivos con Android 10 o versiones posteriores, la actualización del sistema de Google Play tendrá una cadena de fecha que coincida con el período a nivel de parche de seguridad. Consulta este artículo para obtener más detalles sobre cómo para instalar actualizaciones de seguridad.

2. ¿Qué significan las entradas en la columna Tipo?

Entradas en la columna Tipo de la tabla de detalles de la vulnerabilidad hacer referencia a la clasificación de la vulnerabilidad de seguridad.

Abreviatura Definición
RCE Ejecución de código remoto
Fin Elevación de privilegio
ID Divulgación de información
DoS Denegación del servicio
N/A Clasificación no disponible

3. ¿Qué significan las entradas en la columna Referencias?

Entradas en la columna Referencias de los detalles de la vulnerabilidad puede contener un prefijo que identifique la organización a la que el valor de referencia.

Prefijo Referencia
A- ID de error de Android
Control de calidad- Número de referencia de Qualcomm
M- Número de referencia de MediaTek
N- Número de referencia de NVIDIA
B- Número de referencia de Broadcom
U- Número de referencia de la UNISOC

4. ¿Qué significa un * junto al ID de error de Android en las Referencias la media de la columna?

Las ediciones que no están disponibles públicamente tienen un * junto a la ID de referencia. La actualización de ese problema suele estar incluida en la versión más reciente. controladores binarios para dispositivos Pixel disponibles en la Google Sitio para desarrolladores.

5. ¿Por qué las vulnerabilidades de seguridad se dividen en este boletín? y boletines de seguridad del dispositivo / socio, como el Boletín informativo de Pixel?

Las vulnerabilidades de seguridad documentadas en este boletín de seguridad son necesario para declarar el nivel de parche de seguridad más reciente en Android dispositivos. Vulnerabilidades de seguridad adicionales documentadas en el los boletines de seguridad del dispositivo / socio no son necesarios para declarando un nivel de parche de seguridad. Fabricantes de dispositivos Android y chipsset también pueden publicar detalles de vulnerabilidades de seguridad específicos de sus productos, como, por ejemplo, Google: Huawei LGE, Motorola, Nokia o Samsung.

Versiones

Versión Fecha Notas
1.0 3 de junio de 2024 Se publicó el boletín
1.1 13 de agosto de 2024 Se actualizó la lista de problemas