تحتوي نشرة أمان Android على تفاصيل الأمان الثغرات الأمنية التي تؤثر في أجهزة Android. مستويات رمز تصحيح الأمان بتاريخ 2024-08-05 أو بعده، والتي تعالج كل هذه المشاكل. للتعرّف على كيفية إجراء ذلك: لفحص مستوى رمز تصحيح أمان الجهاز، راجِع الشيكات وتحديث إصدار Android على جهازك
يتم إشعار شركاء Android بجميع المشاكل لمدة شهر واحد على الأقل. قبل النشر. ستكون رموز تصحيحات رموز المصدر لهذه المشاكل تم إطلاقها في مستودع "المشروع المفتوح المصدر لنظام Android" (AOSP) الـ 48 ساعة القادمة. سنراجع هذه النشرة باستخدام "الشريك المعتمد من Google للناشرين" (AOSP). عند توفرها.
أخطر هذه المشاكل هو الأمان العالي ثغرة أمنية في مكون إطار العمل والتي قد تؤدي إلى تخزين بيانات تصعيد الامتياز بدون امتيازات التنفيذ الإضافية احتاجت. تشير رسالة الأشكال البيانية درجة الخطورة التقييم إلى تأثير أن استغلال الثغرة الأمنية قد يؤثر على الجهاز المتأثر، مع افتراض إجراءات تخفيف أثر النظام الأساسي والخدمة يتم إيقافها لأغراض التطوير أو إذا نجحت التي تم تجاوزها.
يُرجى الرجوع إلى نظامي التشغيل Android وGoogle Play قسم حماية إجراءات التخفيف للحصول على تفاصيل حول أمان نظام التشغيل Android ووسائل حماية الأنظمة الأساسية و"Google Play للحماية" التي تعمل على تحسين على أمان النظام الأساسي Android.
Android و إجراءات التخفيف في خدمة Google
في ما يلي ملخّص بإجراءات التخفيف التي يوفرها فريق أمان نظام التشغيل Android النظام الأساسي ووسائل حماية الخدمة، مثل Google Play للحماية. هذه إمكانات يقلل من احتمالية حدوث ثغرات أمنية على جهاز Android.
- يزداد استغلال العديد من المشاكل على Android الصعبة بسبب التحسينات في الإصدارات الأحدث من نظام التشغيل Android بدون خادم. نشجّع جميع المستخدمين على تثبيت أحدث إصدار إصدار Android عند الإمكان.
- يراقب فريق أمان Android بشكل نشط حالات إساءة الاستخدام. من خلال Google Play للحماية وتحذّر المستخدمين بشأن التطبيقات التي قد تتسبّب بضرر. Google يتم تفعيل "Play للحماية" تلقائيًا على الأجهزة التي تتضمّن خدمات Google للأجهزة الجوّالة، وبشكل خاص للمستخدمين الذين يثبِّتون تطبيقات من خارج Google اللعب.
تفاصيل الثغرة الأمنية على مستوى رمز تصحيح الأمان في 2024-08-01
في الأقسام أدناه، نقدم تفاصيل لكل ثغرات أمنية تنطبق على رمز التصحيح 2024-08-01 المستوى. ويتم تجميع الثغرات الأمنية ضمن المكون التأثير. يتم وصف المشاكل في الجداول أدناه وهي تشمل CVE. والمعرّف والمراجع ذات الصلة ونوع الثغرة الأمنية درجة الخطورة وإصدارات AOSP المُحدَّثة (حيث السارية). وعندما يكون ذلك متاحًا، نربط التغيير العام الذي عالج المشكلة إلى معرّف الخطأ، مثل قائمة تغييرات AOSP. عندما تتعلق عدة تغييرات بخطأ واحد، فإن ترتبط المراجع بأرقام بعد معرّف الخطأ. الأجهزة التي تعمل بنظام التشغيل Android 10 والإصدارات الأحدث قد تتلقى تحديثات الأمان بالإضافة إلى تحديثات نظام Google Play
إطار العمل
أشد ثغرة في هذا القسم إلى تصعيد محلي للامتياز بدون يجب الحصول على امتيازات تنفيذ إضافية.
| CVE | المراجع | النوع | درجة الخطورة | إصدارات معدَّلة من AOSP |
|---|---|---|---|---|
| CVE-2023-20971 | A-225880325 | EoP | عالٍ | 12، 12L، 13، 14 |
| CVE-2023-21351 | A-232798676 | EoP | عالٍ | 12، 12L، 13 |
| CVE-2024-34731 | A-319210610 [2] [3] [4] [5] | EoP | عالٍ | 12، 12L، 13، 14 |
| CVE-2024-34734 | A-304772709 | EoP | عالٍ | 13، 14 |
| CVE-2024-34735 | A-336490997 | EoP | عالٍ | 12، 12L، 13 |
| CVE-2024-34737 | A-283103220 | EoP | عالٍ | 12، 12L، 13، 14 |
| CVE-2024-34738 | A-336323279 | EoP | عالٍ | 13، 14 |
| CVE-2024-34739 | A-294105066 | EoP | عالٍ | 12، 12L، 13، 14 |
| CVE-2024-34740 | A-307288067 [2] | EoP | عالٍ | 12، 12L، 13، 14 |
| CVE-2024-34741 | A-318683640 | EoP | عالٍ | 12، 12L، 13، 14 |
| CVE-2024-34743 | A-336648613 | EoP | عالٍ | 14 |
| CVE-2024-34736 | A-288549440 | رقم التعريف | عالٍ | 12، 12L، 13، 14 |
| CVE-2024-34742 | A-335232744 | الحرمان من الخدمات | عالٍ | 14 |
النظام
الثغرة الأمنية الواردة في هذا القسم إلى الإفصاح عن المعلومات عن بُعد بدون امتيازات التنفيذ المطلوبة.
| CVE | المراجع | النوع | درجة الخطورة | إصدارات معدَّلة من AOSP |
|---|---|---|---|---|
| CVE-2024-34727 | A-287184435 | رقم التعريف | عالٍ | 12، 12L، 13، 14 |
نظام Google Play التحديثات
لم تتم معالجة أي مشاكل أمان في نظام Google Play. (مشروع Mainline) هذا الشهر.
تفاصيل الثغرة الأمنية على مستوى رمز تصحيح الأمان في 2024-08-05
في الأقسام أدناه، نقدم تفاصيل لكل ثغرات أمنية تنطبق على رمز التصحيح 2024-08-05 المستوى. ويتم تجميع الثغرات الأمنية ضمن المكون التأثير. يتم وصف المشاكل في الجداول أدناه وهي تشمل CVE. والمعرّف والمراجع ذات الصلة ونوع الثغرة الأمنية درجة الخطورة وإصدارات AOSP المُحدَّثة (حيث السارية). وعندما يكون ذلك متاحًا، نربط التغيير العام الذي عالج المشكلة إلى معرّف الخطأ، مثل قائمة تغييرات AOSP. عندما تتعلق عدة تغييرات بخطأ واحد، فإن ترتبط المراجع بأرقام بعد معرّف الخطأ.
Kernel
الثغرة الأمنية الواردة في هذا القسم يمكن أن يؤدي إلى تنفيذ التعليمات البرمجية عن بُعد من خلال تنفيذ النظام الامتيازات اللازمة.
| CVE | المراجع | النوع | درجة الخطورة | المكوّن الفرعي |
|---|---|---|---|---|
| CVE-2024-36971 |
A-343727534 النواة للأعلى [2] [3] [4] [5] [6] [7] [8] [9] [10] [10] [7] |
RCE | عالٍ | Kernel |
مكونات الذراع
تؤثر نقاط الضعف هذه في مكونات الذراع كما تتوفّر التفاصيل مباشرةً من "مجموعة التجربة". تقييم الخطورة يتم تقديم من هذه المشاكل مباشرةً بواسطة Arm.
| CVE | المراجع | درجة الخطورة | المكوّن الفرعي |
|---|---|---|---|
| CVE-2024-2937 |
A-339866012 * | عالٍ | مالي |
| CVE-2024-4607 |
A-339869945 * | عالٍ | مالي |
تقنيات التخيل
تؤثر هذه الثغرة الأمنية على مكونات Imagination Technologies وتتوفر المزيد من التفاصيل مباشرةً من موقع Imagination التقنيات. يتوفّر تقييم لدرجة خطورة هذه المشكلة. مباشرةً من خلال شركة Imagination Technologs.
| CVE | المراجع | درجة الخطورة | المكوّن الفرعي | |
|---|---|---|---|---|
| CVE-2024-31333 |
A-331435657 * | عالٍ | وحدة معالجة رسومات PowerVR |
مكوِّنات MediaTek
تؤثر هذه الثغرة الأمنية في مكونات MediaTek تتوفّر التفاصيل مباشرةً من MediaTek. درجة الخطورة تقدّم MediaTek تقييمًا لهذه المشكلة مباشرةً.
| CVE | المراجع | درجة الخطورة | المكوّن الفرعي |
|---|---|---|---|
| CVE-2024-20082 |
A-344434139 M-MOLY01182594 * |
عالٍ | المودم |
مكونات Qualcomm
تؤثر الثغرات الأمنية هذه في مكونات Qualcomm بمزيد من التفصيل في قسم الأمان المناسب لدى Qualcomm نشرة أو تنبيه أمني. يمكن تقييم مدى خطورة هذه المشاكل يتم تقديم المشكلات مباشرةً بواسطة Qualcomm.
| CVE | المراجع | درجة الخطورة | المكوّن الفرعي |
|---|---|---|---|
| CVE-2024-21478 |
A-323926460 QC-CR#3594987 |
عالٍ | الشاشة |
| CVE-2024-23381 |
A-339043781 QC-CR#3701594 [2] |
عالٍ | الشاشة |
| CVE-2024-23382 |
A-339043615 QC-CR#3704061 [2] |
عالٍ | الشاشة |
| CVE-2024-23383 |
A-339042492 QC-CR#3707659 |
عالٍ | الشاشة |
| CVE-2024-23384 |
A-339043323 QC-CR#3704870 [2] |
عالٍ | الشاشة |
| CVE-2024-33010 |
A-339043396 QC-CR#3717571 |
عالٍ | شبكة WLAN |
| CVE-2024-33011 |
A-339043727 QC-CR#3717567 |
عالٍ | شبكة WLAN |
| CVE-2024-33012 |
A-339043053 QC-CR#3717566 |
عالٍ | شبكة WLAN |
| CVE-2024-33013 |
A-339042691 QC-CR#3710085 |
عالٍ | شبكة WLAN |
| CVE-2024-33014 |
A-339043382 QC-CR#3710081 |
عالٍ | شبكة WLAN |
| CVE-2024-33015 |
A-339043107 QC-CR#3710080 |
عالٍ | شبكة WLAN |
| CVE-2024-33018 |
A-339043500 QC-CR#3704796 |
عالٍ | شبكة WLAN |
| CVE-2024-33019 |
A-339043783 QC-CR#3704794 |
عالٍ | شبكة WLAN |
| CVE-2024-33020 |
A-339043480 QC-CR#3704762 |
عالٍ | شبكة WLAN |
| CVE-2024-33023 |
A-339043278 QC-CR#3702019 [2] |
عالٍ | الشاشة |
| CVE-2024-33024 |
A-339043270 QC-CR#3700072 |
عالٍ | شبكة WLAN |
| CVE-2024-33025 |
A-339042969 QC-CR#3700045 |
عالٍ | شبكة WLAN |
| CVE-2024-33026 |
A-339043880 QC-CR#3699954 |
عالٍ | شبكة WLAN |
| CVE-2024-33027 |
A-316373168 QC-CR#3697522 |
عالٍ | الشاشة |
| CVE-2024-33028 |
A-339043463 QC-CR#3694338 |
عالٍ | الشاشة |
حزمة Qualcomm مغلقة المصدر المكونات
تؤثر الثغرات الأمنية هذه على مكونات المصدر المغلق لشركة Qualcomm. ووصفها بمزيد من التفصيل في تقرير Qualcomm المناسب نشرة أمان أو تنبيه أمان يعتمد تقييم خطورة يتم تقديم هذه المشكلات مباشرةً بواسطة Qualcomm.
| CVE | المراجع | درجة الخطورة | المكوّن الفرعي |
|---|---|---|---|
| CVE-2024-23350 |
A-323919259 * | حرج | مكوِّن مغلق المصدر |
| CVE-2024-21481 |
A-323918669 * | عالٍ | مكوِّن مغلق المصدر |
| CVE-2024-23352 |
A-323918787 * | عالٍ | مكوِّن مغلق المصدر |
| CVE-2024-23353 |
A-323918845 * | عالٍ | مكوِّن مغلق المصدر |
| CVE-2024-23355 |
A-323918338 * | عالٍ | مكوِّن مغلق المصدر |
| CVE-2024-23356 |
A-323919081 * | عالٍ | مكوِّن مغلق المصدر |
| CVE-2024-23357 |
A-323919249 * | عالٍ | مكوِّن مغلق المصدر |
الأسئلة الشائعة الإجابات
يجيب هذا القسم عن الأسئلة الشائعة التي قد تطرأ بعد قراءة هذه النشرة.
1. كيف يمكنني تحديد ما إذا كان جهازي محدَّثًا إلى لحلّ هذه المشاكل؟
لمعرفة كيفية التحقق من مستوى رمز تصحيح أمان الجهاز، يمكنك الاطّلاع على التحقّق من جهاز Android وتحديثه الإصدار.
- تعالج مستويات رموز تصحيح الأمان بتاريخ 01-08-2024 أو تاريخ لاحق جميع المشاكل المشاكل المرتبطة بحزمة الأمان 2024-08-01 المستوى.
- تعالج مستويات رموز تصحيح الأمان بتاريخ 05-08-2024 أو بعد ذلك جميع المشاكل المرتبطة بمستوى رمز تصحيح الأمان 2024-08-05 كل مستويات التصحيح السابقة.
وعلى الشركات المصنّعة للأجهزة التي تتضمّن هذه التحديثات ضبط مستوى سلسلة التصحيح من أجل:
- [ro.build.version.security_patch]:[2024-08-01]
- [ro.build.version.security_patch]:[2024-08-05]
بالنسبة إلى بعض الأجهزة التي تعمل بنظام التشغيل Android 10 أو الإصدارات الأحدث، يمكن استخدام يتضمّن تحديث النظام سلسلة تاريخ تتطابق مع 01-08-2024 مستوى رمز تصحيح الأمان. يُرجى الاطّلاع على هذه المقالة للحصول على مزيد من التفاصيل حول. كيفية تثبيت تحديثات الأمان.
2. لماذا تحتوي هذه النشرة على رمزي تصحيح أمان المستويات؟
تحتوي هذه النشرة على مستويَي تصحيح أمنيَين يتيحان لنظام Android الشركاء لدينا المرونة لإصلاح مجموعة فرعية من الثغرات المتشابهة عبر جميع أجهزة Android بسرعة أكبر. جهاز Android ننصح الشركاء بحلّ جميع المشاكل الواردة في هذه النشرة استخدام أحدث مستوى من رمز تصحيح الأمان.
- يجب أن تستخدم الأجهزة التي تستخدم مستوى رمز تصحيح الأمان 2024-08-01 تضمين جميع المشاكل المرتبطة بمستوى رمز تصحيح الأمان هذا بالإضافة إلى إصلاحات لجميع المشاكل التي تم الإبلاغ عنها في إصدار الأمان السابق ونشرات.
- الأجهزة التي تستخدم مستوى رمز تصحيح الأمان 2024-08-05 أو الأحدث على أن تتضمن كافة التصحيحات القابلة للتطبيق في هذه (و السابق) نشرات الأمان.
ننصح الشركاء بتجميع الحلول لكل المشاكل معًا. التي تتناولها في تحديث واحد.
3. ما هي قيمة الإدخالات في عمود النوع أي؟
الإدخالات في العمود النوع للثغرة الأمنية يشير جدول التفاصيل إلى تصنيف السند الثغرة الأمنية.
| الاختصار | التعريف |
|---|---|
| RCE | تنفيذ الرمز عن بعد |
| EoP | رفع الامتياز |
| رقم التعريف | الإفصاح عن المعلومات |
| الحرمان من الخدمات | الحرمان من الخدمة |
| لا ينطبق | التصنيف غير متاح |
4. ما هي فوائد الإدخالات في قسم المراجع متوسط العمود؟
الإدخالات ضمن عمود المراجع في جدول تفاصيل الثغرة الأمنية على بادئة تحدد التي تنتمي إليها القيمة المرجعية.
| بادئة | مَراجع |
|---|---|
| A- | معرّف الخطأ في Android |
| QC- | الرقم المرجعي لشركة Qualcomm |
| M- | الرقم المرجعي لشركة MediaTek |
| N- | الرقم المرجعي لـ NVIDIA |
| B- | الرقم المرجعي لشركة Broadcom |
| U- | الرقم المرجعي لـ UNISOC |
5. ماذا تفعل علامة * بجوار معرّف خطأ Android في ما هو عمود المراجع؟
وتظهر علامة * بجانب المشاكل غير المتاحة للجميع المعرّف المرجعي المقابل. التحديث بشأن هذه المشكلة هو تتوفر عادةً في أحدث برامج التشغيل الثنائية لأجهزة Pixel الأجهزة المتاحة من موقع Google Developer الإلكتروني.
6. لماذا يتم تقسيم الثغرات الأمنية بين هذه والنشرات ونشرات أمان الجهاز / الشريك، مثل هل هي نشرة Pixel؟
الثغرات الأمنية التي تم توثيقها في هذا الأمان مطلوبة للإعلان عن أحدث مستوى لرمز تصحيح الأمان. على أجهزة Android. الثغرات الأمنية الإضافية التي الموثقة في الجهاز / نشرات أمان الشريك غير مصنفة مطلوب للإعلان عن مستوى رمز تصحيح الأمان. جهاز Android قد تنشر الشركات المصنّعة لشرائح الشريحة أيضًا ثغرة أمنية تفاصيل خاصة بمنتجاتها، مثل Google أو Huawei أو LGE أو Motorola أو Nokia أو Samsung
الإصدارات
| الإصدار | التاريخ | ملاحظات |
|---|---|---|
| 1 | 5 أغسطس 2024 | تم نشر النشرة. |