Yayınlanma tarihi: 4 Kasım 2024
Wear OS Güvenlik Bülteni, Wear OS platformunu etkileyen güvenlik açıklarıyla ilgili ayrıntıları içerir. Wear OS güncellemesinin tam sürümü, bu bültendeki tüm sorunların yanı sıra Kasım 2024 Android Güvenlik Bülteni'ndeki 2024-11-05 veya sonraki bir güvenlik yaması düzeyini içerir.
Tüm müşterilerin cihazlarındaki bu güncellemeleri kabul etmelerini öneririz.
Bu sorunlardan en ciddisi, sistem bileşeninde bulunan ve ek yürütme ayrıcalıkları gerekmeden yerel ayrıcalıkların yükseltilmesine yol açabilecek yüksek güvenlik açıklığıdır. Önem değerlendirmesi, platform ve hizmet azaltmalarının geliştirme amacıyla devre dışı bırakıldığı veya başarılı bir şekilde atlandığı varsayılarak, güvenlik açığından yararlanmanın etkilenen bir cihaz üzerinde oluşturabileceği etkiyi temel alır.
Duyurular
- Kasım 2024 Android Güvenlik Bülteni'nde açıklanan güvenlik açıklarına ek olarak Kasım 2024 Wear OS Güvenlik Bülteni, aşağıda açıklandığı gibi Wear OS açıklarına özel yamalar da içerir.
01.11.2024 güvenlik yaması düzeyindeki güvenlik açığı ayrıntıları
Aşağıdaki bölümlerde, 01.11.2024 yaması düzeyi için geçerli olan güvenlik açıklarının her biri hakkında ayrıntılı bilgi verilmektedir. Güvenlik açıkları, etkiledikleri bileşen altında gruplandırılır. Aşağıdaki tablolarda açıklanan sorunlar CVE kimliğini, ilişkili referansları, güvenlik açığının türünü, önemini ve güncellenmiş AOSP sürümlerini (varsa) içerir. Varsa sorunu gideren herkese açık değişikliği, AOSP değişiklik listesi gibi bir hata kimliğine bağlarız. Tek bir hatayla ilgili birden fazla değişiklik olduğunda, hata kimliğinin ardından gelen sayılara ek referanslar eklenir. Android 10 ve sonraki sürümleri çalıştıran cihazlar Google Play sistem güncellemelerinin yanı sıra güvenlik güncellemeleri de alabilir.
Çerçeve
Bu bölümdeki güvenlik açığı, ek yürütme ayrıcalıklarına ihtiyaç duymadan yerel ayrıcalıkların yükseltilmesine yol açabilir.
| CVE | Referanslar | Tür | Önem derecesi | AOSP sürümleri |
|---|---|---|---|---|
| CVE-2024-43094 | A-303960097 | Kimlik | Yüksek | 13 |
Sistem
Bu bölümdeki güvenlik açığı, ek yürütme ayrıcalıklarına ihtiyaç duymadan ayrıcalıkların yerel olarak artırılmasına neden olabilir.
| CVE | Referanslar | Tür | Önem derecesi | AOSP sürümleri |
|---|---|---|---|---|
| CVE-2024-31330 | A-355642327 | EoP | Yüksek | 13 |
Sık sorulan sorular ve yanıtları
Bu bölümde, bu bülteni okuduktan sonra aklınıza gelebilecek yaygın sorular yanıtlanmaktadır.
1. Cihazımın bu sorunları gidermek için güncellenip güncellenmediğini nasıl anlarım?
Bir cihazın güvenlik yaması düzeyini nasıl kontrol edeceğinizi öğrenmek için Google cihaz güncelleme programındaki talimatları okuyun.
- 2024-11-01 veya sonraki güvenlik yaması düzeyleri, 2024-11-01 güvenlik yaması düzeyiyle ilişkili tüm sorunları giderir.
Bu güncellemeleri içeren cihaz üreticileri, yama dizesi düzeyini şu şekilde ayarlamalıdır:
- [ro.build.version.security_patch]:[2024-11-01]
Android 10 veya sonraki sürümleri çalıştıran bazı cihazlar için Google Play sistem güncellemesinde, 01.11.2024 güvenlik yaması düzeyiyle eşleşen bir tarih dizesi bulunur. Güvenlik güncellemelerinin nasıl yükleneceğiyle ilgili daha fazla bilgi için lütfen bu makaleyi inceleyin.
2. Tür sütunundaki girişler ne anlama geliyor?
Güvenlik açığı ayrıntıları tablosunun Tür sütunundaki girişler, güvenlik açığının sınıflandırmasını belirtir.
| Kısaltma | Tanım |
|---|---|
| RCE | Uzaktan kod yürütme |
| EoP | Ayrıcalık yükseltme |
| Kimlik | Bilgilerin ifşa edilmesi |
| DoS | Hizmet reddi |
| Yok | Sınıflandırma yok |
3. Referanslar sütunundaki girişler ne anlama gelir?
Güvenlik açığı ayrıntıları tablosunun Referanslar sütunundaki girişler, referans değerinin ait olduğu kuruluşu tanımlayan bir ön ek içerebilir.
| Ön numara | Referans |
|---|---|
| A- | Android hata kimliği |
| QC- | Qualcomm referans numarası |
| A- | MediaTek referans numarası |
| H- | NVIDIA referans numarası |
| B- | Broadcom referans numarası |
| U- | UNISOC referans numarası |
4. Referanslar sütununda Android hata kimliğinin yanında bulunan * işareti ne anlama gelir?
Herkese açık olmayan sorunlarda, ilgili referans kimliğinin yanında * işareti bulunur. Bu sorunla ilgili güncelleme genellikle Google Geliştirici sitesinden indirilebilen Pixel cihazlar için en son ikili sürücülerde bulunur.
5. Güvenlik açıkları neden bu bülten ile Pixel bülteni gibi cihaz/iş ortağı güvenlik bültenleri arasında bölünmüştür?
Bu güvenlik bülteninde açıklanan güvenlik açıklarının, Android cihazlarda en son güvenlik yaması düzeyini belirtmek için gereklidir. Güvenlik yaması düzeyini belirtmek için cihaz/iş ortağı güvenlik bültenlerinde belirtilen ek güvenlik açıkları gerekli değildir. Android cihaz ve yonga seti üreticileri (ör. Google, Huawei, LGE, Motorola, Nokia veya Samsung) ürünlerine özgü güvenlik açığı ayrıntılarını da yayınlayabilir.
Sürümler
| Sürüm | Tarih | Notlar |
|---|---|---|
| 1,0 | 4 Kasım 2024 | Bülten yayınlandı. |