Biuletyn bezpieczeństwa Wear OS zawiera szczegółowe informacje o lukach w zabezpieczeniach na platformę Wear OS. Pełna aktualizacja Wear OS obejmuje poprawki zabezpieczeń z 5 czerwca 2024 r. lub później z Biuletynu na temat bezpieczeństwa Androida z czerwca 2024 r., a także problemów opisanych w tym biuletynie.
Zachęcamy wszystkich klientów do zaakceptowania tych aktualizacji na swoich urządzeniach.
Najpoważniejszą z tych sytuacji jest duża luka w zabezpieczeniach Komponent platformy, który może prowadzić do lokalnej eskalacji uprawnień bez potrzebne są dodatkowe uprawnienia do wykonywania. Ocena ważności opiera się na skutkach, jak można wykorzystać lukę na urządzeniu, przy założeniu, że środki łagodzące dla platformy i usługi są wyłączone na potrzeby programowania lub zostanie ominięty.
Ogłoszenia
- Oprócz luk w zabezpieczeniach opisanych w czerwcu 2024 r. Biuletyn na temat bezpieczeństwa Androida oraz Biuletyn na temat bezpieczeństwa Wear OS z czerwca 2024 r. zawiera poprawki przeznaczone specjalnie do luk w zabezpieczeniach Wear OS zgodnie z opisem poniżej.
1.06.2024 szczegóły luk w zabezpieczeniach na poziomie poprawek zabezpieczeń
W sekcjach poniżej podajemy szczegółowe informacje na temat każdego rodzaju zabezpieczeń luki w zabezpieczeniach, które mają zastosowanie do stanu aktualizacji z 1 czerwca 2024 r. Luki w zabezpieczeniach są pogrupowane według komponentu, na który mają wpływ. Problemy zostały opisane w tabelach poniżej i zawierają identyfikator CVE oraz powiązane pliki referencyjne, typ luki w zabezpieczeniach, waga, i zaktualizowanych wersji AOSP (w stosownych przypadkach). Jeśli informacja o zmianie publicznej jest dostępna, dodajemy link identyfikator błędu, np. listę zmian AOSP. Jeśli wiele zmian dotyczy jednego błędu, dodatkowe odniesienia są powiązane z numerami po identyfikatorze błędu. Urządzenia z Androidem 10 i nowszym mogą otrzymywać aktualizacje zabezpieczeń, a także Google Aktualizacje systemowe Google Play.
Platforma
Luka w zabezpieczeniach w tej sekcji może spowodować lokalną eskalację uprawnień bez dodatkowych uprawnień do wykonywania.
| standard CVE | Pliki referencyjne | Typ | Poziom | Zaktualizowane wersje AOSP |
|---|---|---|---|---|
| CVE-2024-31328 | A-319101158 | eksploatacja | Wysoki | 13 |
System
Najpoważniejsza luka w zabezpieczeniach w tej sekcji może spowodować lokalną eskalację. bez dodatkowych uprawnień do wykonywania.
| standard CVE | Pliki referencyjne | Typ | Poziom | Zaktualizowane wersje AOSP |
|---|---|---|---|---|
| CVE-2024-31329 | A-310686440 | eksploatacja | Wysoki | 13 |
Częste pytania i odpowiedzi
W tej sekcji znajdziesz odpowiedzi na najczęstsze pytania, które mogą pojawić się po przeczytaniu tej sekcji biuletyn.
1. Jak sprawdzić, czy moje urządzenie zostało zaktualizowane, by rozwiązać te problemy?
Aby dowiedzieć się, jak sprawdzić stan aktualizacji zabezpieczeń urządzenia, przeczytaj instrukcje dotyczące Harmonogram aktualizacji urządzeń Google
- Stan aktualizacji zabezpieczeń z adresu z 1 czerwca 2024 r. lub nowszego wszystkie problemy związane z poprawką zabezpieczeń z 1 czerwca 2024 r. na poziomie 300%.
Producenci urządzeń, którzy korzystają z tych aktualizacji, powinni ustawić poprawkę. poziom ciągu do:
- [ro.build.version.security_patch]:[1.06.2024]
Na niektórych urządzeniach z Androidem 10 lub nowszym aktualizacja systemowa Google Play będzie miał ciąg daty pasujący do ciągu 1.06.2024 i aktualizacji zabezpieczeń. W tym artykule znajdziesz więcej informacji o tym, , aby zainstalować aktualizacje zabezpieczeń.
2. Co oznaczają wpisy w kolumnie Typ?
Wpisy w kolumnie Typ w tabeli z informacjami o luce w zabezpieczeniach klasyfikację luki w zabezpieczeniach.
| Skrót | Definicja |
|---|---|
| RCE | Zdalne wykonywanie kodu |
| eksploatacja | Podniesienie uprawnień |
| ID | Ujawnianie informacji |
| ataki typu DoS | Atak typu DoS |
| Nie dotyczy | Klasyfikacja niedostępna |
3. Co oznaczają wpisy w kolumnie Pliki referencyjne?
Wpisy w kolumnie Pliki referencyjne w szczegółach luki w zabezpieczeniach tabela może zawierać prefiks identyfikujący organizację, do której jako odwołania.
| Prefiks | Źródła wiedzy |
|---|---|
| A- | Identyfikator błędu Androida |
| QC- | Numer referencyjny Qualcomm |
| M | Numer referencyjny MediaTek |
| Pn | Numer referencyjny NVIDIA |
| B- | Numer referencyjny Broadcom |
| U | Numer referencyjny UNISOC |
4. Co oznacza symbol * obok identyfikatora błędu Androida w dokumentacji średnia z kolumny?
Problemy, które nie są dostępne publicznie, są oznaczone symbolem * przy odpowiednich identyfikator referencyjny. Aktualizacja tego problemu zazwyczaj znajduje się w najnowszych sterowników binarnych dla urządzeń Pixel dostępnych w Google Witryna dla deweloperów.
5. Dlaczego luki w zabezpieczeniach bezpieczeństwa są dzielone między ten biuletyn oraz biuletyny o zabezpieczeniach urządzeń / partnerów, takie jak Chcesz użyć newslettera Pixela?
Luki w zabezpieczeniach opisane w tym biuletynie wymagane do zadeklarowania najnowszego poziomu poprawek zabezpieczeń na Androidzie urządzenia. Dodatkowe luki w zabezpieczeniach, które są opisane w Biuletyny bezpieczeństwa urządzenia / partnera nie są wymagane w przypadku zadeklarowanie poziomu aktualizacji zabezpieczeń. Producenci urządzeń i chipsetów z Androidem mogą też publikować szczegółowe informacje o lukach w zabezpieczeniach swoich produktów, na przykład Google Huawei LGE Motorola Nokia, lub Samsung.
Wersje
| Wersja | Data | Uwagi |
|---|---|---|
| 1,0 | 3 czerwca 2024 r. | Opublikowano newsletter |
| 1,1 | 13 sierpnia 2024 r. | Lista problemów została zaktualizowana |