Buletin Keamanan Android berisi detail keamanan kerentanan yang mempengaruhi perangkat Android. Level patch keamanan tanggal 05-08-2024 atau yang lebih baru akan mengatasi semua masalah ini. Untuk mempelajari cara untuk memeriksa level patch keamanan perangkat, lihat Cek dan update versi Android Anda.
Partner Android akan diberi tahu tentang semua masalah setidaknya satu bulan sebelum dipublikasikan. Patch kode sumber untuk masalah ini adalah dirilis ke repositori Proyek Open Source Android (AOSP) di dalam 48 jam ke depan. Kita akan merevisi buletin ini dengan AOSP jika tersedia.
Masalah terparah dari masalah ini adalah tingkat keamanan yang tinggi kerentanan dalam komponen Framework yang dapat menyebabkan eskalasi akses tanpa hak istimewa eksekusi tambahan diperlukan. Tujuan keparahan penilaian ini didasarkan pada bahwa mengeksploitasi kerentanan yang mungkin terjadi pada perangkat yang terpengaruh, dengan asumsi mitigasi platform dan layanan dinonaktifkan untuk tujuan pengembangan atau jika berhasil diabaikan.
Baca Android dan Google Play Bagian Melindungi mitigasi untuk mengetahui detail tentang keamanan Android perlindungan platform dan Google Play Protect, yang meningkatkan keamanan platform Android.
Android dan Mitigasi layanan Google
Ini adalah ringkasan mitigasi yang disediakan oleh aplikasi keamanan Android platform dan layanan seperti Google Play Protect. Ini mengurangi kemungkinan terjadinya kerentanan keamanan berhasil dieksploitasi di Android.
- Eksploitasi untuk berbagai masalah di Android menimbulkan dampak lebih oleh peningkatan kualitas dalam versi Android yang lebih baru terkelola sepenuhnya. Sebaiknya semua pengguna melakukan update ke terbaru dari Android jika memungkinkan.
- Tim keamanan Android secara aktif memantau penyalahgunaan melalui Google Play Protect dan memperingatkan pengguna tentang Aplikasi yang Berpotensi Membahayakan. Kebijakan Privasi Play Protect diaktifkan secara default di perangkat dengan Layanan Seluler Google, dan terutama penting bagi pengguna yang menginstal aplikasi dari luar Google Google Play.
Detail kerentanan level patch keamanan 2024-08-2024
Pada bagian di bawah ini, kami memberikan detail untuk setiap kerentanan keamanan yang berlaku untuk patch 2024-08-01 level organisasi. Kerentanan dikelompokkan berdasarkan komponennya yang terpengaruh. Masalah dijelaskan dalam tabel di bawah dan menyertakan CVE ID, referensi terkait, jenis kerentanan, keparahan, dan versi AOSP yang telah diperbarui (di mana yang berlaku). Jika tersedia, kami menautkan perubahan publik yang mengatasi masalah ini ke ID {i>bug<i}, seperti daftar perubahan AOSP. Ketika beberapa perubahan berhubungan dengan satu {i>bug<i}, tambahan referensi ditautkan ke angka yang mengikuti ID bug. Perangkat dengan Android 10 dan yang lebih baru dapat menerima update keamanan serta Update sistem Google Play.
Kerangka kerja
Kerentanan yang paling parah di bagian ini dapat menyebabkan eskalasi lokal atas hak istimewa tanpa hak istimewa eksekusi tambahan yang diperlukan.
| CVE | Referensi | Jenis | Tingkat Keparahan | Versi AOSP yang diupdate |
|---|---|---|---|---|
| CVE-2023-20971 | A-225880325 | EoP | Tinggi | 12, 12L, 13, 14 |
| CVE-2023-21351 | A-232798676 | EoP | Tinggi | 12, 12L, 13 |
| CVE-2024-34731 | A-319210610 [2] [3] [4] [5] | EoP | Tinggi | 12, 12L, 13, 14 |
| CVE-2024-34734 | A-304772709 | EoP | Tinggi | 13, 14 |
| CVE-2024-34735 | A-336490997 | EoP | Tinggi | 12, 12L, 13 |
| CVE-2024-34737 | A-283103220 | EoP | Tinggi | 12, 12L, 13, 14 |
| CVE-2024-34738 | A-336323279 | EoP | Tinggi | 13, 14 |
| CVE-2024-34739 | A-294105066 | EoP | Tinggi | 12, 12L, 13, 14 |
| CVE-2024-34740 | A-307288067 [2] | EoP | Tinggi | 12, 12L, 13, 14 |
| CVE-2024-34741 | A-318683640 | EoP | Tinggi | 12, 12L, 13, 14 |
| CVE-2024-34743 | A-336648613 | EoP | Tinggi | 14 |
| CVE-2024-34736 | A-288549440 | ID | Tinggi | 12, 12L, 13, 14 |
| CVE-2024-34742 | A-335232744 | DoS | Tinggi | 14 |
Sistem
Kerentanan di bagian ini dapat mengarah ke pengungkapan informasi jarak jauh tanpa hak istimewa eksekusi yang diperlukan.
| CVE | Referensi | Jenis | Tingkat Keparahan | Versi AOSP yang diupdate |
|---|---|---|---|---|
| CVE-2024-34727 | A-287184435 | ID | Tinggi | 12, 12L, 13, 14 |
Sistem Google Play pembaruan
Tidak ada masalah keamanan yang ditangani di sistem Google Play (Project Mainline) bulan ini.
Detail kerentanan level patch keamanan 2024-08-2024
Pada bagian di bawah ini, kami memberikan detail untuk setiap kerentanan keamanan yang berlaku untuk patch 2024-08-05 level organisasi. Kerentanan dikelompokkan berdasarkan komponennya yang terpengaruh. Masalah dijelaskan dalam tabel di bawah dan menyertakan CVE ID, referensi terkait, jenis kerentanan, keparahan, dan versi AOSP yang telah diperbarui (di mana yang berlaku). Jika tersedia, kami menautkan perubahan publik yang mengatasi masalah ini ke ID {i>bug<i}, seperti daftar perubahan AOSP. Ketika beberapa perubahan berhubungan dengan satu {i>bug<i}, tambahan referensi ditautkan ke angka yang mengikuti ID bug.
Kernel
Kerentanan di bagian ini dapat menyebabkan eksekusi kode jarak jauh dengan Eksekusi sistem hak istimewa yang diperlukan.
| CVE | Referensi | Jenis | Tingkat Keparahan | Subkomponen |
|---|---|---|---|---|
| CVE-2024-36971 |
A-343727534 Kernel upstream [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] |
RCE | Tinggi | Kernel |
Komponen Arm
Kerentanan ini memengaruhi komponen Arm dan detailnya tersedia langsung dari Arm. Penilaian tingkat keparahan masalah ini disediakan langsung oleh Arm.
| CVE | Referensi | Tingkat Keparahan | Subkomponen |
|---|---|---|---|
| CVE-2024-2937 |
A-339866012 * | Tinggi | Mali |
| CVE-2024-4607 |
A-339869945 * | Tinggi | Mali |
Teknologi Imajinasi
Kerentanan ini memengaruhi komponen Imagination Technologies dan detail selengkapnya tersedia langsung dari Imagination Teknologi. Penilaian tingkat keparahan masalah ini diberikan langsung oleh Imagination Technologies.
| CVE | Referensi | Tingkat Keparahan | Subkomponen | |
|---|---|---|---|---|
| CVE-2024-31333 |
A-331435657 * | Tinggi | PowerVR-GPU |
Komponen MediaTek
Kerentanan ini memengaruhi komponen MediaTek dan detailnya tersedia langsung dari MediaTek. Tingkat keparahan penilaian terhadap masalah ini disampaikan langsung oleh MediaTek.
| CVE | Referensi | Tingkat Keparahan | Subkomponen |
|---|---|---|---|
| CVE-2024-20082 |
A-344434139 M-MOLY01182594 * |
Tinggi | Modem |
Komponen Qualcomm
Kerentanan ini mempengaruhi komponen Qualcomm dan yang dijelaskan lebih detail dalam laporan keamanan Qualcomm buletin atau notifikasi keamanan. Penilaian tingkat keseriusan terhadap disediakan langsung oleh Qualcomm.
| CVE | Referensi | Tingkat Keparahan | Subkomponen |
|---|---|---|---|
| CVE-2024-21478 |
A-323926460 QC-CR#3594987 |
Tinggi | Tampilan |
| CVE-2024-23381 |
A-339043781 QC-CR#3701594 [2] |
Tinggi | Tampilan |
| CVE-2024-23382 |
A-339043615 QC-CR#3704061 [2] |
Tinggi | Tampilan |
| CVE-2024-23383 |
A-339042492 QC-CR#3707659 |
Tinggi | Tampilan |
| CVE-2024-23384 |
A-339043323 QC-CR#3704870 [2] |
Tinggi | Tampilan |
| CVE-2024-33010 |
A-339043396 QC-CR#3717571 |
Tinggi | WLAN |
| CVE-2024-33011 |
A-339043727 QC-CR#3717567 |
Tinggi | WLAN |
| CVE-2024-33012 |
A-339043053 QC-CR#3717566 |
Tinggi | WLAN |
| CVE-2024-33013 |
A-339042691 QC-CR#3710085 |
Tinggi | WLAN |
| CVE-2024-33014 |
A-339043382 QC-CR#3710081 |
Tinggi | WLAN |
| CVE-2024-33015 |
A-339043107 QC-CR#3710080 |
Tinggi | WLAN |
| CVE-2024-33018 |
A-339043500 QC-CR#3704796 |
Tinggi | WLAN |
| CVE-2024-33019 |
A-339043783 QC-CR#3704794 |
Tinggi | WLAN |
| CVE-2024-33020 |
A-339043480 QC-CR#3704762 |
Tinggi | WLAN |
| CVE-2024-33023 |
A-339043278 QC-CR#3702019 [2] |
Tinggi | Tampilan |
| CVE-2024-33024 |
A-339043270 QC-CR#3700072 |
Tinggi | WLAN |
| CVE-2024-33025 |
A-339042969 QC-CR#3700045 |
Tinggi | WLAN |
| CVE-2024-33026 |
A-339043880 QC-CR#3699954 |
Tinggi | WLAN |
| CVE-2024-33027 |
A-316373168 QC-CR#3697522 |
Tinggi | Tampilan |
| CVE-2024-33028 |
A-339043463 QC-CR#3694338 |
Tinggi | Tampilan |
Closed source dari Qualcomm komponen
Kerentanan ini memengaruhi komponen {i>closed-source<i} Qualcomm dan dijelaskan secara lebih rinci dalam dokumen buletin keamanan atau notifikasi keamanan. Penilaian tingkat keparahan masalah ini disampaikan langsung oleh Qualcomm.
| CVE | Referensi | Tingkat Keparahan | Subkomponen |
|---|---|---|---|
| CVE-2024-23350 |
A-323919259 * | Kritis | Komponen {i>closed-source<i} |
| CVE-2024-21481 |
A-323918669 * | Tinggi | Komponen {i>closed-source<i} |
| CVE-2024-23352 |
A-323918787 * | Tinggi | Komponen {i>closed-source<i} |
| CVE-2024-23353 |
A-323918845 * | Tinggi | Komponen {i>closed-source<i} |
| CVE-2024-23355 |
A-323918338 * | Tinggi | Komponen {i>closed-source<i} |
| CVE-2024-23356 |
A-323919081 * | Tinggi | Komponen {i>closed-source<i} |
| CVE-2024-23357 |
A-323919249 * | Tinggi | Komponen {i>closed-source<i} |
Pertanyaan umum dan jawaban
Bagian ini menjawab pertanyaan umum yang mungkin terjadi setelah membaca buletin ini.
1. Bagaimana cara menentukan apakah perangkat saya telah diupdate ke mengatasi masalah ini?
Untuk mempelajari cara memeriksa level patch keamanan perangkat, lihat Memeriksa dan mengupdate Android Anda versi.
- Level patch keamanan 01-08-2024 atau yang lebih baru menangani semua masalah yang terkait dengan patch keamanan 01-08-2024 level organisasi.
- Level patch keamanan 05-08-2024 atau yang lebih baru menangani semua yang terkait dengan level {i> patch level<i} keamanan 2024-08-05 dan semua level patch sebelumnya.
Produsen perangkat yang menyertakan update ini harus menyetel tingkat string patch ke:
- [ro.build.version.security_patch]:[01-08-2024]
- [ro.build.version.security_patch]:[05-08-2024]
Untuk beberapa perangkat yang menjalankan Android 10 atau yang lebih baru, Google Play update sistem akan memiliki string tanggal yang cocok dengan 01-08-2024 {i>security patch<i}. Lihat artikel ini untuk detail selengkapnya tentang cara menginstal pembaruan keamanan.
2. Mengapa buletin ini memiliki dua patch keamanan level?
Buletin ini memiliki dua tingkat patch keamanan sehingga Android partner memiliki fleksibilitas untuk memperbaiki sebagian kerentanan yang serupa di semua perangkat Android dengan lebih cepat. Android mitra dianjurkan untuk memperbaiki semua masalah dalam buletin ini dan gunakan level {i>patch<i} keamanan terbaru.
- Perangkat yang menggunakan level patch keamanan 01-08-2024 harus mencakup semua masalah yang terkait dengan {i>security patch level<i}, serta perbaikan untuk semua masalah yang dilaporkan dalam keamanan sebelumnya buletin.
- Perangkat yang menggunakan level patch keamanan 05-08-2024 atau yang lebih baru harus menyertakan semua {i>patch<i} yang berlaku di dalamnya (dan sebelumnya) buletin keamanan.
Partner dianjurkan untuk menggabungkan perbaikan untuk semua masalah yang mereka tangani dalam satu pembaruan.
3. Apa fungsi entri di kolom Jenis rata-rata?
Entri di kolom Jenis kerentanan yang merujuk pada klasifikasi keamanan kerentanan.
| Singkatan | Definisi |
|---|---|
| RCE | Eksekusi kode jarak jauh |
| EoP | Elevasi hak istimewa |
| ID | Pengungkapan informasi |
| DoS | {i>Denial of service<i} |
| T/A | Klasifikasi tidak tersedia |
4. Apa fungsi entri dalam Referensi rata-rata kolom?
Entri pada kolom References pada tabel detail kerentanan dapat berisi awalan yang mengidentifikasi organisasi yang memiliki nilai referensi.
| Awalan | Referensi |
|---|---|
| A- | ID bug Android |
| QC- | Nomor referensi Qualcomm |
| S- | Nomor referensi MediaTek |
| T- | Nomor referensi NVIDIA |
| B- | Nomor referensi Broadcom |
| U- | Nomor referensi UNISOC |
5. Apa yang dimaksud * di sebelah ID bug Android dalam Rata-rata kolom Referensi?
Masalah yang tidak tersedia untuk publik memiliki tanda * di sebelah ID referensi yang sesuai. Pembaruan untuk masalah itu adalah umumnya terdapat dalam driver biner terbaru untuk Pixel perangkat yang tersedia dari Situs Google Developers.
6. Mengapa kerentanan keamanan terbagi dalam dan buletin keamanan perangkat / partner, seperti Buletin Pixel?
Kerentanan keamanan yang didokumentasikan dalam keamanan ini buletin diperlukan untuk mendeklarasikan level {i>patch<i} keamanan terbaru di perangkat Android. Kerentanan keamanan tambahan yang yang didokumentasikan dalam buletin keamanan perangkat / mitra tidak yang diperlukan untuk mendeklarasikan level {i>security patch<i}. Perangkat Android dan produsen chipset juga dapat memublikasikan kerentanan keamanan detail spesifik untuk produk mereka, seperti Google, Huawei, LGE, Motorola, Nokia, atau Samsung.
Versi
| Versi | Tanggal | Catatan |
|---|---|---|
| 1.0 | 5 Agustus 2024 | Buletin Dipublikasikan. |