Biuletyn na temat bezpieczeństwa w Wear OS zawiera szczegółowe informacje o zabezpieczeniach które mają luki w zabezpieczeniach na platformie Wear OS. Pełna wersja Wear OS aktualizacja obejmuje poprawki zabezpieczeń z 5.08.2024 lub nowszego z Biuletynu o bezpieczeństwie Androida z sierpnia 2024 r. wszystkie problemy wymienione w tym biuletynie.
Zachęcamy wszystkich klientów do zaakceptowania tych zmian w urządzenia.
Najpoważniejszą z tych przyczyn jest wysokie bezpieczeństwo lukę w zabezpieczeniach w komponencie systemu, która może prowadzić do lokalnych eskalacja uprawnień bez dodatkowych uprawnień do wykonywania niezbędną. Ocena ważności opiera się na skutkach że wykorzystanie luki w zabezpieczeniach urządzenia, na którym wystąpił problem, przy założeniu, że stosowane są środki ograniczające ryzyko związane z platformą i usługą są wyłączone do celów programistycznych lub i ominęło.
Ogłoszenia
- Oprócz luk w zabezpieczeniach opisanych w biuletyn na temat bezpieczeństwa Androida z sierpnia 2024 r., sierpień 2024 r. Biuletyn na temat bezpieczeństwa systemu operacyjnego zawiera też poprawki przeznaczone specjalnie do Luki w zabezpieczeniach Wear OS opisane poniżej.
Szczegóły luk w zabezpieczeniach na poziomie aktualizacji zabezpieczeń 01.08.2024
W sekcjach poniżej podajemy szczegółowe informacje o każdym luki w zabezpieczeniach występujące w poprawce z 1 sierpnia 2024 r. na poziomie 300%. Luki w zabezpieczeniach są grupowane w ramach komponentu, i innych kwestii. Problemy zostały opisane w tabelach poniżej i obejmują CVE Identyfikator, powiązane pliki referencyjne, typ lukę w zabezpieczeniach i wagę oraz zaktualizowane wersje AOSP (gdzie ). Jeśli takie zmiany są dostępne, link do publicznej zmiany poprawił identyfikator błędu, np. listę zmian AOSP. Jeśli wiele zmian dotyczy jednego błędu, dodatkowe są powiązane z numerami po identyfikatorze błędu. Urządzenia z Androidem 10 i nowszym mogą otrzymywać aktualizacje zabezpieczeń, Aktualizacje systemowe Google Play.
Platforma
Luka w zabezpieczeniach może spowodować lokalną eskalację uprawnień bez potrzebne są dodatkowe uprawnienia do wykonywania.
| standard CVE | Pliki referencyjne | Typ | Poziom | Zaktualizowane wersje AOSP |
|---|---|---|---|---|
| CVE-2024-34745 | A-307251159 | eksploatacja | Wysoki | 13 |
System
Najpoważniejszą luką w zabezpieczeniach może spowodować lokalną eskalację uprawnień bez potrzebne są dodatkowe uprawnienia do wykonywania.
| standard CVE | Pliki referencyjne | Typ | Poziom | Zaktualizowane wersje AOSP |
|---|---|---|---|---|
| CVE-2024-34744 | A-326925455 | eksploatacja | Wysoki | 13 |
| CVE-2024-34746 | A-304082471 | eksploatacja | Wysoki | 13 |
Częste pytania odpowiedzi
W tej sekcji znajdziesz odpowiedzi na najczęstsze pytania, które mogą wystąpić po za przeczytanie tego biuletynu.
1. Jak sprawdzić, czy moje urządzenie zostało zaktualizowane do i rozwiązać te problemy?
Aby dowiedzieć się, jak sprawdzić stan aktualizacji zabezpieczeń na urządzeniu, przeczytaj postępuj zgodnie z instrukcjami z aktualizacji urządzeń Google .
- Poprawki zabezpieczeń z 1 sierpnia 2024 r. lub nowsze problemy związane z poprawką zabezpieczeń z 1 sierpnia 2024 r. na poziomie 300%.
Producenci urządzeń, którzy uwzględniają te aktualizacje, powinni ustawić wartość popraw poziom ciągu znaków na:
- [ro.build.version.security_patch]:[1.08.2024]
Na niektórych urządzeniach z Androidem 10 lub nowszym aplikacja Google Play aktualizacja systemu będzie miała ciąg daty pasujący do 1.08.2024 i aktualizacji zabezpieczeń. Więcej informacji znajdziesz w tym artykule: jak zainstalować aktualizacje zabezpieczeń.
2. Do czego służą wpisy w kolumnie Typ ?
Wpisy w kolumnie Typ luki w zabezpieczeniach tabela ze szczegółami odnosi się do klasyfikacji zabezpieczenia czyli luki w zabezpieczeniach.
| Skrót | Definicja |
|---|---|
| RCE | Zdalne wykonywanie kodu |
| eksploatacja | Podniesienie uprawnień |
| ID | Ujawnianie informacji |
| ataki typu DoS | Atak typu DoS |
| Nie dotyczy | Klasyfikacja niedostępna |
3. Do czego służą wpisy w Odnośnikach średnia z kolumny?
Wpisy w kolumnie Pliki referencyjne Tabela z informacjami o lukach w zabezpieczeniach może zawierać prefiks identyfikujący organizacji, do której należy wartość referencyjna.
| Prefiks | Źródła wiedzy |
|---|---|
| A- | Identyfikator błędu Androida |
| QC- | Numer referencyjny Qualcomm |
| M | Numer referencyjny MediaTek |
| Pn | Numer referencyjny NVIDIA |
| B- | Numer referencyjny Broadcom |
| U | Numer referencyjny UNISOC |
4. Co oznacza symbol * obok identyfikatora błędu Androida w sekcji Średnia kolumny Odnośniki?
Problemy, które są niedostępne publicznie, są oznaczone symbolem * obok odpowiedni identyfikator referencyjny. Aktualizacja tego problemu to zazwyczaj zawarte w najnowszych sterownikach plików binarnych telefonu Pixel. urządzeń dostępnych w witrynie Google Developers.
5. Dlaczego luki w zabezpieczeniach są dzielone między te luki oraz biuletyny o zabezpieczeniach urządzeń / partnerów, takie jak Chcesz użyć newslettera Pixela?
Luki w zabezpieczeniach, które są udokumentowane w tym zabezpieczeniach Do zadeklarowania ostatniego poziomu poprawek zabezpieczeń wymagany jest biuletyn na urządzeniach z Androidem. Dodatkowe luki w zabezpieczeniach, które są udokumentowane w biuletynach dotyczących zabezpieczeń urządzenia / partnera i nie są wymagane do zadeklarowania poziomu aktualizacji zabezpieczeń. urządzenie z Androidem i Producenci chipsetów mogą również publikować luki w zabezpieczeniach. szczegóły dotyczące ich produktów, takie jak Google, Huawei, LGE, Motorola, Nokia czy Samsung.
Wersje
| Wersja | Data | Uwagi |
|---|---|---|
| 1,0 | 5 sierpnia 2024 r. | Opublikowano biuletyn. |