Le bulletin sur la sécurité d'Android contient des informations détaillées sur la sécurité les vulnérabilités affectant les appareils Android. Niveaux du correctif de sécurité du 5 août 2024 ou version ultérieure. Pour savoir comment pour vérifier le niveau du correctif de sécurité d'un appareil, consultez Chèque et mettre à jour votre version d'Android.
Les partenaires Android sont informés de tous les problèmes au moins un mois. avant leur publication. Les correctifs du code source pour ces problèmes publié dans le dépôt du projet Android Open Source (AOSP) au cours des prochaines 48 heures. Nous réviserons ce bulletin avec l'AOSP. lorsqu'ils sont disponibles.
Le plus grave de ces problèmes est un niveau de sécurité élevé dans le composant Framework, ce qui pourrait entraîner élévation de privilèges sans droits d'exécution supplémentaires nécessaires. La gravité évaluation se base sur l'effet dont l'exploitation de la vulnérabilité l'appareil concerné, en supposant que les mesures d'atténuation des risques liés à la plate-forme et au service sont désactivés à des fins de développement ou s'ils réussissent contournées.
Reportez-vous à la section Android et Google Play sur les mesures d'atténuation des risques, pour en savoir plus sur la sécurité Android les protections de notre plate-forme et Google Play Protect, qui améliorent la sécurité de la plate-forme Android.
Android et Mesures d'atténuation des risques liés aux services Google
Voici un récapitulatif des mesures d'atténuation fournies par le de plate-forme et de services, comme Google Play Protect. Ces réduisent le risque que les failles de sécurité pourrait être exploitée avec succès sur Android.
- L’exploitation de nombreux problèmes sur Android est rendue plus par les améliorations apportées aux nouvelles versions d'Android Google Cloud. Nous encourageons tous les utilisateurs à passer à la dernière version version d'Android lorsque cela est possible.
- L'équipe de sécurité Android surveille activement les utilisations abusives via Google Play Protect et vous avertit les applications potentiellement dangereuses. Google Play Protect est activé par défaut sur les appareils équipés des services Google Mobile, en particulier important pour les utilisateurs qui installent des applis n'appartenant pas à Google Lire.
Détails de la faille au niveau du correctif de sécurité du 01/08/2024
Vous trouverez dans les sections ci-dessous des informations détaillées sur Failles de sécurité applicables au correctif du 01/08/2024 d'application. Les vulnérabilités sont regroupées sous le composant qu’elles impact. Les problèmes sont décrits dans les tableaux ci-dessous et incluent les failles CVE ID, références associées, type de faille severity, et les versions mises à jour d'AOSP (où applicables). Le cas échéant, nous associons la modification publique résolu le problème à l'ID de bug, comme la liste de modifications AOSP. Lorsque plusieurs modifications sont liées à un même bug, sont liées aux numéros suivant l'ID de bug. Appareils équipés d'Android 10 ou version ultérieure peuvent recevoir des mises à jour de sécurité, ainsi que Mises à jour du système Google Play
Framework
La vulnérabilité la plus grave cette section peut entraîner une élévation des privilèges au niveau local des droits d'exécution supplémentaires sont nécessaires.
| CVE | Références | Type | Gravité | Versions d'AOSP mises à jour |
|---|---|---|---|---|
| CVE-2023-20971 | A-225880325 | EoP | Élevée | 12, 12L, 13, 14 |
| CVE-2023-21351 | A-232798676 | EoP | Élevée | 12, 12L, 13 |
| CVE-2024-34731 | A-319210610 [2]. [3]. [4]. [5]. | EoP | Élevée | 12, 12L, 13, 14 |
| CVE-2024-34734 | A-304772709 | EoP | Élevée | 13, 14 |
| CVE-2024-34735 | A-336490997 | EoP | Élevée | 12, 12L, 13 |
| CVE-2024-34737 | A-283103220 | EoP | Élevée | 12, 12L, 13, 14 |
| CVE-2024-34738 | A-336323279 | EoP | Élevée | 13, 14 |
| CVE-2024-34739 | A-294105066 | EoP | Élevée | 12, 12L, 13, 14 |
| CVE-2024-34740 | A-307288067 [2]. | EoP | Élevée | 12, 12L, 13, 14 |
| CVE-2024-34741 | A-318683640 | EoP | Élevée | 12, 12L, 13, 14 |
| CVE-2024-34743 | A-336648613 | EoP | Élevée | 14 |
| CVE-2024-34736 | A-288549440 | ID | Élevée | 12, 12L, 13, 14 |
| CVE-2024-34742 | A-335232744 | DoS | Élevée | 14 |
Système
La faille mentionnée dans cette section peut entraîner la divulgation d'informations à distance sans droits d'exécution requis.
| CVE | Références | Type | Gravité | Versions d'AOSP mises à jour |
|---|---|---|---|---|
| CVE-2024-34727 | A-287184435 | ID | Élevée | 12, 12L, 13, 14 |
Système Google Play mises à jour
Aucun problème de sécurité n'est résolu dans le système Google Play (projet Mainline) ce mois-ci.
Détails de la faille au niveau du correctif de sécurité du 05/08/2024
Vous trouverez dans les sections ci-dessous des informations détaillées sur Failles de sécurité applicables au correctif du 05/08/2024 d'application. Les vulnérabilités sont regroupées sous le composant qu’elles impact. Les problèmes sont décrits dans les tableaux ci-dessous et incluent les failles CVE ID, références associées, type de faille severity, et les versions mises à jour d'AOSP (où applicables). Le cas échéant, nous associons la modification publique résolu le problème à l'ID de bug, comme la liste de modifications AOSP. Lorsque plusieurs modifications sont liées à un même bug, sont liées aux numéros suivant l'ID de bug.
Noyau
La faille mentionnée dans cette section peut entraîner l'exécution de code à distance avec l'exécution du système droits requis.
| CVE | Références | Type | Gravité | Sous-composant |
|---|---|---|---|---|
| CVE-2024-36971 |
A-343727534 Noyau en amont [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] |
RCE | Élevée | Noyau |
Composants du bras
Ces failles affectent les composants Arm sont disponibles directement auprès d'ARM. Évaluation de la gravité de ces problèmes est fournie directement par Arm.
| CVE | Références | Gravité | Sous-composant |
|---|---|---|---|
| CVE-2024-2937 |
A-339866012 * | Élevée | Mali |
| CVE-2024-4607 |
A-339869945 * | Élevée | Mali |
Imagination Technologies
Cette faille affecte les composants d'Imagination Technologies D'autres informations sont disponibles directement auprès d'Imagination. technologies. L'évaluation de la gravité de ce problème est fournie directement par Imagination Technologies.
| CVE | Références | Gravité | Sous-composant | |
|---|---|---|---|---|
| CVE-2024-31333 |
A-331435657 * | Élevée | PowerVR-GPU |
Composants MediaTek
Cette faille affecte, entre autres, les composants MediaTek sont disponibles directement auprès de MediaTek. La gravité est directement fournie par MediaTek.
| CVE | Références | Gravité | Sous-composant |
|---|---|---|---|
| CVE-2024-20082 |
A-344434139 M-MOLY01182594 * |
Élevée | Modem |
Composants Qualcomm
Ces failles affectent les composants Qualcomm et sont décrit plus en détail dans les consignes de sécurité Qualcomm ou une alerte de sécurité. L'évaluation de la gravité sont fournies directement par Qualcomm.
| CVE | Références | Gravité | Sous-composant |
|---|---|---|---|
| CVE-2024-21478 |
A-323926460 QC-CR#3594987 |
Élevée | Écran |
| CVE-2024-23381 |
A-339043781 QC-CR#3701594 [2]. |
Élevée | Écran |
| CVE-2024-23382 |
A-339043615 QC-CR#3704061 [2]. |
Élevée | Écran |
| CVE-2024-23383 |
A-339042492 QC-CR#3707659 |
Élevée | Écran |
| CVE-2024-23384 |
A-339043323 QC-CR#3704870 [2]. |
Élevée | Écran |
| CVE-2024-33010 |
A-339043396 QC-CR#3717571 |
Élevée | WLAN |
| CVE-2024-33011 |
A-339043727 QC-CR#3717567 |
Élevée | WLAN |
| CVE-2024-33012 |
A-339043053 QC-CR#3717566 |
Élevée | WLAN |
| CVE-2024-33013 |
A-339042691 QC-CR#3710085 |
Élevée | WLAN |
| CVE-2024-33014 |
A-339043382 QC-CR#3710081 |
Élevée | WLAN |
| CVE-2024-33015 |
A-339043107 QC-CR#3710080 |
Élevée | WLAN |
| CVE-2024-33018 |
A-339043500 QC-CR#3704796 |
Élevée | WLAN |
| CVE-2024-33019 |
A-339043783 QC-CR#3704794 |
Élevée | WLAN |
| CVE-2024-33020 |
A-339043480 QC-CR#3704762 |
Élevée | WLAN |
| CVE-2024-33023 |
A-339043278 QC-CR#3702019 [2]. |
Élevée | Écran |
| CVE-2024-33024 |
A-339043270 QC-CR#3700072 |
Élevée | WLAN |
| CVE-2024-33025 |
A-339042969 QC-CR#3700045 |
Élevée | WLAN |
| CVE-2024-33026 |
A-339043880 QC-CR#3699954 |
Élevée | WLAN |
| CVE-2024-33027 |
A-316373168 QC-CR#3697522 |
Élevée | Écran |
| CVE-2024-33028 |
A-339043463 QC-CR#3694338 |
Élevée | Écran |
Qualcomm à source fermée composants
Ces failles affectent les composants à source fermée Qualcomm et sont décrites plus en détail dans le règlement Qualcomm le bulletin de sécurité ou l'alerte de sécurité. L'évaluation de la gravité des ces problèmes sont fournis directement par Qualcomm.
| CVE | Références | Gravité | Sous-composant |
|---|---|---|---|
| CVE-2024-23350 |
A-323919259 * | Critique | Composant à source fermée |
| CVE-2024-21481 |
A-323918669 * | Élevée | Composant à source fermée |
| CVE-2024-23352 |
A-323918787 * | Élevée | Composant à source fermée |
| CVE-2024-23353 |
A-323918845 * | Élevée | Composant à source fermée |
| CVE-2024-23355 |
A-323918338 * | Élevée | Composant à source fermée |
| CVE-2024-23356 |
A-323919081 * | Élevée | Composant à source fermée |
| CVE-2024-23357 |
A-323919249 * | Élevée | Composant à source fermée |
Questions fréquentes et réponses
Cette section répond aux questions courantes qui peuvent se poser après en lisant ce bulletin.
1. Comment savoir si mon appareil a été mis à jour pour résoudre ces problèmes ?
Pour savoir comment vérifier le niveau du correctif de sécurité d'un appareil, consultez Vérifier et mettre à jour votre appareil Android version.
- Les niveaux du correctif de sécurité à compter du 01/08/2024 Problèmes associés au correctif de sécurité du 01/08/2024 d'application.
- Les niveaux du correctif de sécurité à compter du 5 août 2024 liés au niveau du correctif de sécurité du 05/08/2024 et tous les niveaux de correctif précédents.
Les fabricants d'appareils qui proposent ces mises à jour doivent définir niveau de la chaîne patch sur:
- [ro.build.version.security_patch]:[01/08/2024]
- [ro.build.version.security_patch]:[05/08/2024]
Pour certains appareils équipés d'Android 10 ou version ultérieure, mise à jour du système comporte une chaîne de date correspondant au 2024-08-01 du correctif de sécurité. Veuillez consulter cet article pour en savoir plus sur comment installer les mises à jour de sécurité.
2. Pourquoi ce bulletin comporte-t-il deux correctifs de sécurité ? ou plus ?
Ce bulletin comporte deux niveaux de correctif de sécurité. les partenaires ont la possibilité de corriger un sous-ensemble de failles similaires sur tous les appareils Android. Android les partenaires sont invités à corriger tous les problèmes susmentionnés dans ce bulletin et utilisez le dernier niveau de correctif de sécurité.
- Les appareils utilisant le niveau du correctif de sécurité du 01/08/2024 doivent inclure tous les problèmes associés à ce niveau de correctif de sécurité, et tous les problèmes signalés dans les règles de sécurité précédentes et les bulletins.
- Appareils utilisant le correctif de sécurité 2024-08-05 ou les plus récentes doivent y inclure tous les correctifs applicables (et précédent) les bulletins de sécurité.
Nous encourageons les partenaires à regrouper les correctifs pour tous les problèmes qu’ils traitent en une seule mise à jour.
3. Que contiennent les entrées de la colonne Type ? ?
Entrées de la colonne Type de la faille Le tableau des détails fait référence à la classification du titre la faille de sécurité.
| Abréviation | Définition |
|---|---|
| RCE | Exécution de code à distance |
| EoP | Élévation de privilèges |
| ID | Divulgation d'informations |
| DoS | Déni de service |
| N/A | Classification non disponible |
4. Que contiennent les entrées du panneau Références ? moyenne de cette colonne ?
Les entrées de la colonne Références de détails des failles peut contenir un préfixe identifiant organisation à laquelle appartient la valeur de référence.
| Préfixe | Référence |
|---|---|
| A- | ID de bug Android |
| QC – | Numéro de référence Qualcomm |
| L- | Numéro de référence MediaTek |
| N- | Numéro de référence NVIDIA |
| B- | Numéro de référence Broadcom |
| U- | Numéro de référence UNISOC |
5. Que signifie le caractère * à côté de l'ID de bug Android dans le Moyenne de la colonne Références ?
Les numéros qui ne sont pas disponibles publiquement sont signalés par un astérisque (*) à côté de l'ID de référence correspondant. La mise à jour pour ce problème est généralement contenues dans les derniers pilotes binaires des Pixel. appareils disponibles Site Google Developers :
6. Pourquoi les failles de sécurité sont-elles réparties entre ces et les bulletins de sécurité de l'appareil ou des partenaires, tels que Bulletin Pixel ?
Les failles de sécurité documentées dans ce sont requises pour déclarer le dernier niveau du correctif de sécurité. sur les appareils Android. D'autres failles de sécurité documentées dans les bulletins de sécurité de l'appareil / des partenaires ne sont pas nécessaire pour déclarer un niveau de correctif de sécurité. Appareil Android et les fabricants de chipsets peuvent aussi publier des failles de sécurité des détails spécifiques à leurs produits, tels que Google, Huawei, LGE, Motorola, Nokia ou Samsung.
Versions
| Version | Date | Notes |
|---|---|---|
| 1.0 | 5 août 2024 | Publication du bulletin. |