Wear OS Güvenlik Bülteni, Wear OS platformunu etkileyen güvenlik açıklarının ayrıntılarını içerir. Tam Wear OS güncellemesi, bu bültendeki tüm sorunların yanı sıra Temmuz 2024 Android Güvenlik Bülteni'nde yer alan 05.07.2024 veya sonraki bir güvenlik yaması düzeyini kapsamaktadır.
Tüm müşterilerimizin, cihazlarında bu güncellemeleri kabul etmelerini öneririz.
Bu sorunların en ciddisi, Çerçeve bileşeninde bulunan ve ek yürütme ayrıcalıklarına ihtiyaç duymadan ayrıcalıkların yerel olarak artırılmasına yol açabilecek yüksek güvenlik açığıdır. Önem derecesi, platform ve hizmet hafifletmelerinin geliştirme amacıyla devre dışı bırakıldığı veya başarıyla atlatıldığı varsayılarak, güvenlik açığından yararlanmanın etkilenen bir cihaz üzerinde olası etkisine dayanır.
Duyurular
- Temmuz 2024 Android Güvenlik Bülteni'nde açıklanan güvenlik açıklarının yanı sıra Temmuz 2024 Wear OS Güvenlik Bülteni'nde de aşağıda açıklandığı gibi, Wear OS güvenlik açıklarına özel yamalar yer almaktadır.
01.07.2024 güvenlik yaması düzeyindeki güvenlik açığı ayrıntıları
Aşağıdaki bölümlerde, 01.07.2024 yama düzeyi için geçerli olan her bir güvenlik açığıyla ilgili ayrıntılar sağlanmaktadır. Güvenlik açıkları, etkiledikleri bileşenin altında gruplandırılır. Sorunlar aşağıdaki tablolarda açıklanmıştır. Bu sorunlar arasında CVE kimliği, ilişkili referanslar, güvenlik açığı türü, önem derecesi ve güncellenmiş AOSP sürümleri (geçerli olduğunda) yer alır. Kullanılabilir olduğunda, sorunu ele alan herkese açık değişikliği hata kimliğine (ör. AOSP değişiklik listesi) bağlarız. Tek bir hatayla ilgili birden fazla değişiklik olduğunda, hata kimliğinden sonra gelen sayılara ek referanslar bağlanır. Android 10 ve sonraki sürümleri çalıştıran cihazlar Google Play sistem güncellemelerinin yanı sıra güvenlik güncellemeleri de alabilir.
Sistem
Bu bölümdeki en ciddi güvenlik açığı, ek yürütme ayrıcalıklarına gerek kalmadan ayrıcalıkların yerel olarak yükseltilmesine neden olabilir.
| CVE | Referanslar | Tür | Önem derecesi | Güncellenen AOSP sürümleri |
|---|---|---|---|---|
| CVE-2024-31338 | A-324406734 | EoP | Yüksek | 13 |
Sık sorulan sorular ve cevaplar
Bu bölümde, bu bülteni okuduktan sonra aklınıza gelebilecek genel sorular yanıtlanmaktadır.
1. Cihazımın bu sorunları gidermek için güncellenip güncellenmediğini nasıl anlayabilirim?
Bir cihazın güvenlik yaması düzeyini nasıl kontrol edeceğinizi öğrenmek için Google cihaz güncelleme programındaki talimatları okuyun.
- 01.07.2024 veya sonraki bir güvenlik yaması düzeyleri, 01.07.2024 güvenlik yaması düzeyiyle ilgili tüm sorunları ele alır.
Bu güncellemeleri içeren cihaz üreticileri yama dizesi düzeyini şu şekilde ayarlamalıdır:
- [ro.build.version.security_yama]:[01.07.2024]
Android 10 veya sonraki sürümleri çalıştıran bazı cihazlar için Google Play sistem güncellemesinde, 01.07.2024 güvenlik yaması düzeyiyle eşleşen bir tarih dizesi bulunur. Güvenlik güncellemelerinin nasıl yükleneceğiyle ilgili daha fazla bilgi için lütfen bu makaleyi inceleyin.
2. Tür sütunundaki girişler ne anlama geliyor?
Güvenlik açığı ayrıntıları tablosunun Tür sütunundaki girişler, güvenlik açığının sınıflandırmasına referans verir.
| Kısaltma | Tanım |
|---|---|
| RCE | Uzaktan kod yürütme |
| EoP | Ayrıcalık yükseltme |
| ID | Bilgilerin ifşa edilmesi |
| DoS | Hizmet reddi |
| Yok | Sınıflandırma yok |
3. Referanslar sütunundaki girişler ne anlama geliyor?
Güvenlik açığı ayrıntıları tablosunun Referanslar sütunundaki girişler, referans değerinin ait olduğu kuruluşu tanımlayan bir önek içerebilir.
| Ön numara | Referans |
|---|---|
| A- | Android hata kimliği |
| Kalite Kontrol | Qualcomm referans numarası |
| A- | MediaTek referans numarası |
| H- | NVIDIA referans numarası |
| B- | Broadcom referans numarası |
| U- | UNISOC referans numarası |
4. Referanslar sütununda Android hata kimliğinin yanında bulunan * işareti ne anlama gelir?
Herkese açık olmayan sayılarda, ilgili referans kimliğinin yanında * işareti bulunur. Bu sorunla ilgili güncelleme, genellikle Google Geliştirici sitesinde bulunan Pixel cihazlar için en yeni ikili program sürücülerinde yer alır.
5. Güvenlik açıkları bu bülten ile Pixel bülteni gibi cihaz / iş ortağı güvenlik bültenleri arasında neden ayrılıyor?
Bu güvenlik bülteninde belirtilen güvenlik açıkları, Android cihazlarda en son güvenlik yaması düzeyinin bildirilmesi için gereklidir. Güvenlik yaması düzeyi beyan etmek için cihaz / iş ortağı güvenlik bültenlerinde belirtilen ek güvenlik açıkları gerekli değildir. Android cihaz ve yonga seti üreticileri, Google, Huawei, LGE, Motorola, Nokia veya Samsung gibi ürünlerine özgü güvenlik açığı ayrıntılarını da yayınlayabilir.
Sürümler
| Sürüm | Tarih | Notlar |
|---|---|---|
| 1,0 | 3 Temmuz 2024 | Bülten yayınlandı |