Biuletyn bezpieczeństwa Androida zawiera szczegółowe informacje o lukach w zabezpieczeniach na urządzeniach z Androidem. Poziomy poprawek zabezpieczeń 5 marca 2024 roku lub później. Aby dowiedzieć się, jak sprawdzić stan aktualizacji zabezpieczeń urządzenia, zobacz Aktualizowanie Androida i sprawdzanie jego wersji
Partnerzy Androida są powiadamiani o wszystkich problemach co najmniej miesiąc wcześniej publikacji. Poprawki kodu źródłowego tych problemów zostały opublikowane w Android Open Repozytorium projektu źródłowego (AOSP), do którego link znajduje się w tym biuletynie. Ten biuletyn zawiera też linki do poprawek spoza AOSP.
Poważną luką w zabezpieczeniach jest luka w zabezpieczeniach Komponent systemu, który może prowadzić do zdalnego wykonywania kodu bez dodatkowych wymagane uprawnienia do wykonywania. Ocena ważności opiera się na skutkach, jak można wykorzystać lukę na urządzeniu, przy założeniu, że środki łagodzące dla platformy i usługi są wyłączone na potrzeby programowania lub zostanie ominięty.
Więcej informacji znajdziesz w artykule na temat Androida i Google Play Protect. środki zaradcze, aby dowiedzieć się więcej o błędach Platforma zabezpieczeń Androida zabezpieczeń i Google Play Protect, które zwiększają bezpieczeństwo platformy Androida.
Android i usługa Google środki zaradcze
To jest podsumowanie środków zaradczych udostępnionych przez Platforma zabezpieczeń Androida oraz zabezpieczeń usług, takich jak Google Play Protect. Możliwości te zmniejszają prawdopodobieństwo wykorzystania luk w zabezpieczeniach Androida.
- Wykorzystywanie wielu problemów na Androidzie utrudnia, w nowszych wersjach platformy Androida. Zachęcamy wszystkich użytkowników jak tylko będzie to możliwe, zaktualizuj Androida do najnowszej wersji.
- Zespół ds. bezpieczeństwa Androida aktywnie monitoruje nadużycia, wykorzystując Google Play. Ochrona i ostrzeżenia użytkowników Potencjalnie Szkodliwe aplikacje. Usługa Google Play Protect jest domyślnie włączona urządzenia dzięki Google Urządzenia mobilne usług. Jest to szczególnie ważne w przypadku użytkowników, którzy instalują aplikacje z poza Google Play.
1.03.2024 szczegóły luk w zabezpieczeniach na poziomie poprawek zabezpieczeń
W sekcjach poniżej podajemy szczegółowe informacje na temat każdego rodzaju zabezpieczeń luki w zabezpieczeniach, które mają zastosowanie do poziomu poprawek z 1 marca 2024 r. Luki w zabezpieczeniach są pogrupowane według komponentu, na który mają wpływ. Problemy zostały opisane w tabelach poniżej i zawierają identyfikator CVE oraz powiązane pliki referencyjne, typ luki w zabezpieczeniach, waga, i zaktualizowanych wersji AOSP (w stosownych przypadkach). Jeśli informacja o zmianie publicznej jest dostępna, dodajemy link identyfikator błędu, np. listę zmian AOSP. Jeśli wiele zmian dotyczy jednego błędu, dodatkowe odniesienia są powiązane z numerami po identyfikatorze błędu. Urządzenia z Androidem 10 i nowszym mogą otrzymywać aktualizacje zabezpieczeń, a także Google Odtwórz aktualizacje systemu.
Platforma
Najpoważniejsza luka w zabezpieczeniach w tej sekcji może spowodować lokalną eskalację. bez dodatkowych uprawnień do wykonywania.
| standard CVE | Pliki referencyjne | Typ | Poziom | Zaktualizowane wersje AOSP |
|---|---|---|---|---|
| CVE-2024-0046 | A-299441833 | eksploatacja | Wysoki | 12, 12 l, 13, 14 |
| CVE-2024-0048 | A-316893159 | eksploatacja | Wysoki | 12, 12 l, 13, 14 |
| CVE-2024-0049 | A-273936274 | eksploatacja | Wysoki | 12, 12 l, 13, 14 |
| CVE-2024-0050 | A-273935108 | eksploatacja | Wysoki | 12, 12 l, 13, 14 |
| CVE-2024-0051 | A-276442130 | eksploatacja | Wysoki | 12, 12 l, 13, 14 |
| CVE-2024-0053 | A-281525042 | ID | Wysoki | 12, 12 l, 13, 14 |
| CVE-2024-0047 | A-311687929 [2] [3] | ataki typu DoS | Wysoki | 14 |
System
Najpoważniejsza luka w zabezpieczeniach w tej sekcji może prowadzić do zdalnego kodu bez konieczności wykonywania dodatkowych uprawnień.
| standard CVE | Pliki referencyjne | Typ | Poziom | Zaktualizowane wersje AOSP |
|---|---|---|---|---|
| CVE-2024-0039 | A-295887535 [2] [3] | RCE | Krytyczny | 12, 12 l, 13, 14 |
| CVE-2024-23717 | A-318374503 | eksploatacja | Krytyczny | 12, 12 l, 13, 14 |
| CVE-2023–40081 | A-284297452 | ID | Wysoki | 12, 12 l, 13, 14 |
| CVE-2024-0045 | A-300903400 | ID | Wysoki | 12, 12 l, 13, 14 |
| CVE-2024-0052 | A-303871379 | ID | Wysoki | 14 |
Aktualizacje systemowe Google Play
W aktualizacjach systemowych Google Play nie rozwiązano żadnych problemów z bezpieczeństwem (Project Mainline) w tym miesiącu.
5.03.2024 szczegóły luk w zabezpieczeniach na poziomie poprawek zabezpieczeń
W sekcjach poniżej podajemy szczegółowe informacje na temat każdego rodzaju zabezpieczeń Luki w zabezpieczeniach stosowane na poziomie poprawek z maja 2024 r. Luki w zabezpieczeniach są pogrupowane według komponentu, na który mają wpływ. Problemy zostały opisane w tabelach poniżej i zawierają identyfikator CVE oraz powiązane pliki referencyjne, typ luki w zabezpieczeniach, waga, i zaktualizowanych wersji AOSP (w stosownych przypadkach). Jeśli informacja o zmianie publicznej jest dostępna, dodajemy link identyfikator błędu, np. listę zmian AOSP. Jeśli wiele zmian dotyczy jednego błędu, dodatkowe odniesienia są powiązane z numerami po identyfikatorze błędu.
AMLogic
Te luki w zabezpieczeniach wpływają na komponenty AMLogic. Szczegółowe informacje są dostępny bezpośrednio w AMLogic. Ocena wagi tych problemów jest dostarczana bezpośrednio przez firmę AMLogic.
| standard CVE | Pliki referencyjne | Poziom | Składnik podrzędny |
|---|---|---|---|
| CVE-2023-48424 |
A-315373062 * | Wysoki | Program rozruchowy |
| CVE-2023-48425 |
A-319132171 * | Wysoki | Program rozruchowy |
Wysięgnik
Te luki w zabezpieczeniach wpływają na komponenty Arm. Więcej szczegółów jest dostępnych prosto od Arm. Ocena wagi tych problemów jest przekazywana bezpośrednio przez Arm.
| standard CVE | Pliki referencyjne | Poziom | Składnik podrzędny |
|---|---|---|---|
| CVE-2023-6143 |
A-316197619 * | Wysoki | Mali |
| CVE-2023-6241 |
A-316206835 * | Wysoki | Mali |
Komponenty MediaTek
Te luki w zabezpieczeniach wpływają na komponenty MediaTek. Szczegółowe informacje są bezpośrednio w MediaTek. Ocena wagi tych problemów jest przekazywana bezpośrednio przez MediaTek.
| standard CVE | Pliki referencyjne | Poziom | Składnik podrzędny |
|---|---|---|---|
| CVE-2024–20005 |
A-318303317
M-ALPS08355599 * |
Wysoki | da |
| CVE-2024–20022 |
A-318302377
M-ALPS08528255 * |
Wysoki | lk |
| CVE-2024–20023 |
A-318302378
M-ALPS08541638 * |
Wysoki | Flashc |
| CVE-2024–20024 |
A-318316114
M-ALPS08541635 * |
Wysoki | Flashc |
| CVE-2024–20025 |
A-318316115
M-ALPS08541686 * |
Wysoki | da |
| CVE-2024–20027 |
A-318316117
M-ALPS08541632 * |
Wysoki | da |
| CVE-2024–20028 |
A-318310276
M-ALPS08541632 * |
Wysoki | da |
| CVE-2024–20020 |
A-318302372
M-ALPS08522504 * |
Wysoki | OPTYMISTYCZNY |
| CVE-2024–20026 |
A-318310274
M-ALPS08541632 * |
Wysoki | da |
Komponenty Qualcomm
Te luki w zabezpieczeniach mają wpływ na komponenty Qualcomm i zostały opisane poniżej w odpowiednim biuletynie o zabezpieczeniach Qualcomm lub alercie bezpieczeństwa. Ocena wagi tych problemów jest dostarczana bezpośrednio przez firmę Qualcomm.
| standard CVE | Pliki referencyjne | Poziom | Składnik podrzędny |
|---|---|---|---|
| CVE-2023-43546 |
314790498
QC-CR#3602482 |
Wysoki | Bezpieczeństwo |
| CVE-2023-43547 |
A-314791076
QC-CR#3602462 [2] |
Wysoki | Bezpieczeństwo |
| CVE-2023-43550 |
A-314791623
QC-CR#3595842 |
Wysoki | Jądro |
| CVE-2023-43552 |
A-314791054
QC-CR#3583521 |
Wysoki | WLAN |
| CVE-2023-43553 |
A-314791341
QC-CR#3580821 |
Wysoki | WLAN |
Komponenty Qualcomm typu open source
Te luki w zabezpieczeniach mają wpływ na komponenty typu open source Qualcomm i są zostały opisane szczegółowo w odpowiednim biuletynie o zabezpieczeniach Qualcomm lub alertu bezpieczeństwa. Ocena wagi tych problemów jest dostarczana bezpośrednio przez firmę Qualcomm.
| standard CVE | Pliki referencyjne | Poziom | Składnik podrzędny |
|---|---|---|---|
| CVE-2023-28578 |
A-285902353 * | Krytyczny | Komponent typu open source |
| CVE-2023-33042 |
A-295039320 * | Wysoki | Komponent typu open source |
| CVE-2023-33066 |
A-303101493 * | Wysoki | Komponent typu open source |
| CVE-2023-33105 |
314790953 * | Wysoki | Komponent typu open source |
| CVE-2023-43539 |
A-314791241 * | Wysoki | Komponent typu open source |
| CVE-2023-43548 |
314790932 * | Wysoki | Komponent typu open source |
| CVE-2023-43549 |
A-314791266 * | Wysoki | Komponent typu open source |
Częste pytania i odpowiedzi
W tej sekcji znajdziesz odpowiedzi na najczęstsze pytania, które mogą pojawić się po przeczytaniu tej sekcji biuletyn.
1. Jak sprawdzić, czy moje urządzenie zostało zaktualizowane, by rozwiązać te problemy?
Aby dowiedzieć się, jak sprawdzić stan aktualizacji zabezpieczeń urządzenia, zobacz Aktualizowanie Androida i sprawdzanie jego wersji
- Stan aktualizacji zabezpieczeń z adresu z 1 marca 2024 r. lub nowszego wszystkie problemy związane z poprawką zabezpieczeń z 1 marca 2024 r. na poziomie 300%.
- Stan aktualizacji zabezpieczeń z adresu z 5 marca 2024 r. lub nowszego wszystkie problemy związane z poprawką zabezpieczeń z 5 marca 2024 r. i wszystkich poprzednich poziomach poprawek.
Producenci urządzeń, którzy uwzględniają te aktualizacje, powinni ustawić ciąg poprawki na poziomie:
- [ro.build.version.security_patch]:[1.03.2024]
- [ro.build.version.security_patch]:[5.03.2024]
Na niektórych urządzeniach z Androidem 10 lub nowszym aktualizacja systemowa Google Play będzie miał ciąg daty pasujący do ciągu 1.03.2024 i aktualizacji zabezpieczeń. W tym artykule znajdziesz więcej informacji o tym, jak instalowanie aktualizacji zabezpieczeń.
2. Dlaczego ten biuletyn ma dwa poziomy poprawek zabezpieczeń?
Ten biuletyn ma dwa poziomy poprawek zabezpieczeń, dzięki czemu partnerzy Androida elastyczności w usuwaniu podzbioru luk w zabezpieczeniach, które są podobne we wszystkich szybsze działanie urządzeń z Androidem, Partnerzy zajmujący się Androidem powinni naprawić wszystkie problemów w tym biuletynie i użyć najnowszego poziomu poprawek zabezpieczeń.
- Urządzenia korzystające ze stanu aktualizacji zabezpieczeń 1 marca 2024 r. musi obejmować wszystkie problemy związane z danym poziomem poprawek zabezpieczeń, a także jako zawiera poprawki wszystkich problemów zgłoszonych w poprzednich biuletynach o zabezpieczeniach.
- Urządzenia korzystające z poprawek zabezpieczeń z 5 marca 2024 r. lub nowsza musi zawierać wszystkie odpowiednie poprawki w tym (i poprzednim) zabezpieczeniach biuletyny.
Zachęcamy partnerów, aby połączyli rozwiązania wszystkich problemów w pakiecie w ramach jednej aktualizacji.
3. Co oznaczają wpisy w kolumnie Typ?
Wpisy w kolumnie Typ w tabeli z informacjami o luce w zabezpieczeniach klasyfikację luki w zabezpieczeniach.
| Skrót | Definicja |
|---|---|
| RCE | Zdalne wykonywanie kodu |
| eksploatacja | Podniesienie uprawnień |
| ID | Ujawnianie informacji |
| ataki typu DoS | Atak typu DoS |
| Nie dotyczy | Klasyfikacja niedostępna |
4. Co oznaczają wpisy w kolumnie Pliki referencyjne?
Wpisy w kolumnie Pliki referencyjne w szczegółach luki w zabezpieczeniach tabela może zawierać prefiks identyfikujący organizację, do której odniesienie wartość.
| Prefiks | Źródła wiedzy |
|---|---|
| A- | Identyfikator błędu Androida |
| QC- | Numer referencyjny Qualcomm |
| M | Numer referencyjny MediaTek |
| Pn | Numer referencyjny NVIDIA |
| B- | Numer referencyjny Broadcom |
| U | Numer referencyjny UNISOC |
5. Co oznacza symbol * obok identyfikatora błędu Androida w dokumentacji średnia z kolumny?
Problemy, które nie są dostępne publicznie, są oznaczone symbolem * przy odpowiednich identyfikator referencyjny. Aktualizacja tego problemu zazwyczaj znajduje się w najnowszych sterowników binarnych dla urządzeń Pixel dostępnych w Google Witryna dla deweloperów.
6. Dlaczego luki w zabezpieczeniach zostały podzielone między ten biuletyn a biuletyny o zabezpieczeniach urządzeń / partnerów, takie jak Chcesz użyć newslettera Pixela?
Luki w zabezpieczeniach opisane w tym biuletynie wymagane do zadeklarowania najnowszego poziomu poprawek zabezpieczeń na Androidzie urządzenia. Dodatkowe luki w zabezpieczeniach, które są opisane w Biuletyny bezpieczeństwa urządzenia / partnera nie są wymagane w przypadku zadeklarowanie poziomu aktualizacji zabezpieczeń. Producenci urządzeń i chipsetów z Androidem mogą też publikować szczegółowe informacje o lukach w zabezpieczeniach swoich produktów, na przykład Google Huawei LGE Motorola Nokia, lub Samsung.
Wersje
| Wersja | Data | Uwagi |
|---|---|---|
| 1,0 | 4 marca 2024 r. | Opublikowano biuletyn. |
| 1,1 | 29 lipca 2024 r. | Zaktualizowano tabele CVE. |