Google publikuje aktualizację zabezpieczeń systemu Android 03/2024. (P24-068)

cert.pse-online.pl 9 miesięcy temu

Biuletyn bezpieczeństwa systemu Android zawiera szczegółowe informacje na temat luk w zabezpieczeniach urządzeń z systemem Android. Poprawki zabezpieczeń z wersji 2024-03-05 lub nowszej rozwiązują wszystkie te problemy.

Najpoważniejszym z tych problemów jest krytyczna luka w zabezpieczeniach komponentu System, która może prowadzić do zdalnego wykonania kodu bez konieczności posiadania dodatkowych uprawnień do wykonywania.

2024-03-01 Szczegóły luki w zabezpieczeniach na poziomie poprawki zabezpieczeń

W poniższych sekcjach podajemy szczegółowe informacje na temat każdej luki w zabezpieczeniach, która ma zastosowanie do poziomu poprawki 2024-03-01.

Framework

Najpoważniejsza luka w tej sekcji może prowadzić do lokalnej eskalacji uprawnień bez konieczności posiadania dodatkowych uprawnień do wykonywania.

CVEBibliografiaTypKrytycznośćZaktualizowane wersje AOSP
CVE-2024-0044A-307532206EoPWysoka12, 12L, 13, 14
CVE-2024-0046A-299441833EoPWysoka12, 12L, 13, 14
CVE-2024-0048A-316893159EoPWysoka12, 12L, 13, 14
CVE-2024-0049A-273936274EoPWysoka12, 12L, 13, 14
CVE-2024-0050A-273935108EoPWysoka12, 12L, 13, 14
CVE-2024-0051A-276442130EoPWysoka12, 12L, 13, 14
CVE-2024-0053A-281525042IDWysoka12, 12L, 13, 14
CVE-2024-0047A-311687929 [ 2 ] [ 3 ]DoSWysoka14

System

Najpoważniejsza luka w tej sekcji może prowadzić do zdalnego wykonania kodu bez konieczności posiadania dodatkowych uprawnień do wykonywania.

CVEBibliografiaTypKrytycznośćZaktualizowane wersje AOSP
CVE-2024-0039A-295887535 [ 2 ] [ 3 ]RCEKrytyczna12, 12L, 13, 14
CVE-2024-23717A-318374503EoPKrytyczna12, 12L, 13, 14
CVE-2023-40081A-284297452IDWysoka12, 12L, 13, 14
CVE-2024-0045A-300903400IDWysoka12, 12L, 13, 14
CVE-2024-0052A-303871379IDWysoka14

2024-03-05 Szczegóły luki w zabezpieczeniach na poziomie poprawki zabezpieczeń

W poniższych sekcjach podajemy szczegółowe informacje na temat każdej luki w zabezpieczeniach, która ma zastosowanie w wersji poprawki z dnia 2024-03-05. Luki są pogrupowane według komponentu, którego dotyczą.

AMLogika

Luki te dotyczą komponentów AMLogic. Dalsze szczegóły można uzyskać bezpośrednio od AMLogic. Ocena ważności tych problemów jest przeprowadzana bezpośrednio przez AMLogic.

CVEBibliografiaKrytycznośćPodskładnik
CVE-2023-48424A-315373062 *WysokaProgram rozruchowy
CVE-2023-48425A-319132171 *WysokaProgram rozruchowy

ARM komponent

Luki te dotyczą komponentów ARM, a dalsze szczegóły można uzyskać bezpośrednio od ARM. Ocenę dotkliwości tych problemów przeprowadza bezpośrednio Arm.

CVEBibliografiaKrytycznośćPodskładnik
CVE-2023-6143A-316197619 *WysokaMali
CVE-2023-6241A-316206835 *WysokaMali

Komponenty MediaTeka

Luki te dotyczą komponentów MediaTek. Dalsze szczegóły można uzyskać bezpośrednio od MediaTek. Ocena wagi tych problemów jest przeprowadzana bezpośrednio przez firmę MediaTek.

CVEBibliografiaKrytycznośćPodskładnik
CVE-2024-20005A-318303317
M-ALPS08355599 *
Wysokada
CVE-2024-20022A-318302377
M-ALPS08528255 *
WysokaŁk
CVE-2024-20023A-318302378
M-ALPS08541638 *
Wysokaflashc
CVE-2024-20024A-318316114
M-ALPS08541635 *
Wysokaflashc
CVE-2024-20025A-318316115
M-ALPS08541686 *
Wysokada
CVE-2024-20027A-318316117
M-ALPS08541632 *
Wysokada
CVE-2024-20028A-318310276
M-ALPS08541632 *
Wysokada
CVE-2024-20020A-318302372
M-ALPS08522504 *
WysokaOPTYM
CVE-2024-20026A-318310274
M-ALPS08541632 *
Wysokada

Komponenty Qualcomma

Luki te dotyczą komponentów Qualcomm i są szczegółowo opisane we właściwym biuletynie bezpieczeństwa Qualcomm lub alercie bezpieczeństwa. Ocena wagi tych problemów jest przeprowadzana bezpośrednio przez firmę Qualcomm.

CVEBibliografiaKrytycznośćPodskładnik
CVE-2023-43546A-314790498
QC-CR#3602482
WysokaBezpieczeństwo
CVE-2023-43547A-314791076
QC-CR#3602462 [ 2 ]
WysokaBezpieczeństwo
CVE-2023-43550A-314791623
QC-CR#3595842
WysokaJądro
CVE-2023-43552A-314791054
QC-CR#3583521
WysokaWLAN
CVE-2023-43553A-314791341
QC-CR#3580821
WysokaWLAN

Komponenty Qualcomm o zamkniętym kodzie źródłowym

Luki te dotyczą komponentów Qualcomm o zamkniętym kodzie źródłowym i są opisane bardziej szczegółowo we właściwym biuletynie bezpieczeństwa Qualcomm lub alercie bezpieczeństwa. Oceny istotności tych problemów dokonuje bezpośrednio Qualcomm.

CVEBibliografiaKrytycznośćPodskładnik
CVE-2023-28578A-285902353 *KrytycznaKomponent o zamkniętym źródle
CVE-2023-33042A-295039320 *WysokaKomponent o zamkniętym źródle
CVE-2023-33066A-303101493 *WysokaKomponent o zamkniętym źródle
CVE-2023-33105A-314790953 *WysokaKomponent o zamkniętym źródle
CVE-2023-43539A-314791241 *WysokaKomponent o zamkniętym źródle
CVE-2023-43548A-314790932 *WysokaKomponent o zamkniętym źródle
CVE-2023-43549A-314791266 *WysokaKomponent o zamkniętym źródle
Idź do oryginalnego materiału