Boletim de segurança do Wear OS: agosto de 2024

Publicado em 5 de agosto de 2024

O boletim de segurança do Wear OS contém detalhes de segurança vulnerabilidades que afetam a plataforma Wear OS. O Wear OS completo A atualização inclui o nível do patch de segurança de 05/08/2024 ou posterior do Boletim de segurança do Android de agosto de 2024 em além de todas as questões deste boletim.

Recomendamos que todos os clientes aceitem essas atualizações em seus dispositivos.

O mais grave deles é uma alta insuficiência de vulnerabilidade no componente do sistema que pode levar a escalonamento de privilégios sem privilégios de execução adicionais necessários. A avaliação de gravidade é baseada no efeito que a exploração da vulnerabilidade teria em um dispositivo afetado, supondo que as mitigações de plataforma e serviço desativados para fins de desenvolvimento ou, se forem bem-sucedidos pode ser ignorado.

Anúncios

  • Além das vulnerabilidades de segurança descritas em no boletim de segurança do Android de agosto de 2024, e no Wear O OS Security Boletim também contém patches especificamente para Vulnerabilidades do Wear OS, conforme descrito abaixo.

Detalhes da vulnerabilidade do nível do patch de segurança de 01/08/2024

Nas seções abaixo, fornecemos detalhes para cada um dos vulnerabilidades de segurança que se aplicam ao patch de 01/08/2024 nível As vulnerabilidades são agrupadas no componente afetar. Os problemas são descritos nas tabelas abaixo e incluem o CVE ID, referências associadas, tipo de vulnerabilidade, gravidade e versões atualizadas do AOSP (em que aplicável). Quando disponível, vinculamos a mudança pública que abordou o problema com o ID do bug, como a lista de mudanças do AOSP. Quando várias alterações estão relacionadas a um único bug, são vinculadas a números após o ID do bug. Dispositivos com o Android 10 e versões mais recentes, podem receber atualizações de segurança Atualizações do sistema do Google Play.

Framework

A vulnerabilidade pode levar ao escalonamento local de privilégios sem você precisa de mais privilégios de execução.

CVE Referências Tipo Gravidade Versões atualizadas do AOSP
CVE-2024-34745 A-307251159 Fim do dia Alta 13

Sistema

A vulnerabilidade mais grave pode levar ao escalonamento local de privilégios sem você precisa de mais privilégios de execução.

CVE Referências Tipo Gravidade Versões atualizadas do AOSP
CVE-2024-34744 A-326925455 Fim do dia Alta 13
CVE-2024-34746 A-304082471 Fim do dia Alta 13

Perguntas comuns e respostas

Esta seção responde a perguntas comuns que podem ocorrer após lendo este boletim.

1. Como determino se meu dispositivo está atualizado para resolver esses problemas?

Para aprender a verificar o nível do patch de segurança de um dispositivo, acesse as instruções da atualização do dispositivo Google programação.

  • Os níveis de patch de segurança de 01/08/2024 ou mais recente atendem a todos problemas associados ao patch de segurança de 01/08/2024 nível

Os fabricantes de dispositivos que incluem essas atualizações devem definir os de nível da string de patch para:

  • [ro.build.version.security_patch]:[2024-08-01]

Em alguns dispositivos com o Android 10 ou versões mais recentes, o Google Play a atualização do sistema vai ter uma string de data igual a 01/08/2024 nível do patch de segurança. Consulte este artigo para mais detalhes sobre como instalar atualizações de segurança.

2. O que as entradas na coluna Tipo significa?

Entradas na coluna Tipo da vulnerabilidade de dados referem-se à classificação da organização a vulnerabilidade.

Abreviatura Definição
RCE Execução remota de código
Fim do dia Elevação do privilégio
ID Divulgação de informações
DoS (DoS) Negação de serviço
N/A Classificação indisponível

3. O que as entradas nas Referências média da coluna?

Entradas na coluna Referências do a tabela de detalhes da vulnerabilidade pode conter um prefixo que identifica organização à qual o valor de referência pertence.

Prefixo Referência
A- ID do bug do Android
Controle de qualidade Número de referência da Qualcomm
M- Número de referência da MediaTek
N Número de referência da NVIDIA
B- Número de referência Broadcom
de Número de referência do UNISOC

4. O que faz um * ao lado do ID do bug do Android na References?

Os problemas que não estiverem disponíveis publicamente terão um * ao lado do ID de referência correspondente. A atualização desse problema incluídos nos drivers binários mais recentes do Pixel dispositivos disponíveis no site do Google Developers.

5. Por que as vulnerabilidades de segurança estão divididas entre isso e boletins informativos de dispositivos / parceiros, como Boletim do Pixel?

Vulnerabilidades de segurança documentadas neste documento precisam declarar o nível mais recente do patch de segurança em dispositivos Android. Outras vulnerabilidades de segurança que são documentadas nos boletins de segurança de dispositivos / parceiros não são necessária para declarar um nível de patch de segurança. dispositivo Android e os fabricantes de chipsets também podem publicar vulnerabilidades detalhes específicos dos produtos da empresa, como Google, Huawei, LGE, Motorola, Nokia ou Samsung.

Versões

Versão Data Observações
1.0 5 de agosto de 2024 Boletim publicado.