Biuletyn bezpieczeństwa systemu Android zawiera szczegółowe informacje na temat luk w zabezpieczeniach urządzeń z systemem Android. Poprawki zabezpieczeń z wersji 2024-05-05 lub nowszej rozwiązują wszystkie te problemy.
Najpoważniejszym z tych problemów jest krytyczna luka w zabezpieczeniach komponentu System, która może prowadzić do lokalnej eskalacji uprawnień bez konieczności posiadania dodatkowych uprawnień do wykonywania.
2024-05-01 Szczegóły luki w zabezpieczeniach na poziomie poprawki zabezpieczeń
W poniższych sekcjach podajemy szczegółowe informacje na temat każdej luki w zabezpieczeniach, która ma zastosowanie w wersji poprawki 2024-05-01.
Struktura
Najpoważniejsza luka w tej sekcji może prowadzić do lokalnej eskalacji uprawnień bez konieczności posiadania dodatkowych uprawnień do wykonywania.
CVE | Bibliografia | Typ | Krytyczność | Zaktualizowane wersje AOSP |
CVE-2024-0024 | A-293602317 | EoP | Wysoka | 12, 12L, 13, 14 |
CVE-2024-0025 | A-279428283 | EoP | Wysoka | 12, 12L, 13, 14 |
CVE-2024-23705 | A-293602970 | EoP | Wysoka | 12, 12L, 13, 14 |
CVE-2024-23708 | A-293301736 | EoP | Wysoka | 12, 12L, 13, 14 |
System
Najpoważniejsza luka w tej sekcji może prowadzić do lokalnej eskalacji uprawnień bez konieczności posiadania dodatkowych uprawnień do wykonywania.
CVE | Bibliografia | Typ | Krytyczność | Zaktualizowane wersje AOSP |
CVE-2024-23706 | A-328068777 | EoP | Krytyczna | 14 |
CVE-2024-0043 | A-295549388 | EoP | Wysoka | 12, 12L, 13, 14 |
CVE-2024-23707 | A-316891059 | EoP | Wysoka | 14 |
CVE-2024-23709 | A-317780080 | ID | Wysoka | 12, 12L, 13, 14 |
Aktualizacje systemu Google Play
Następujące zagadnienia są zawarte w składnikach Project Mainline.
Podskładnik | CVE |
Zdrowie i Kondycja | CVE-2024-23706 |
Komponenty Media Framework | CVE-2024-23709 |
Kontroler uprawnień | CVE-2024-0043 |
2024-05-05 Szczegóły luki w zabezpieczeniach na poziomie poprawki zabezpieczeń
W poniższych sekcjach podajemy szczegółowe informacje na temat każdej luki w zabezpieczeniach, która ma zastosowanie w wersji poprawki z dnia 2024-05-05.
Jądro
Luka w tej sekcji może prowadzić do lokalnej eskalacji uprawnień w jądrze bez konieczności posiadania dodatkowych uprawnień do wykonywania.
CVE | Bibliografia | Typ | Krytyczność | Podskładnik |
CVE-2023-4622 | A-299123598 Jądro nadrzędne [ 2 ] [ 3 ] [ 4 ] | EoP | Wysoka | Uniksa |
Jądro LTS
Zaktualizowano następujące wersje jądra. Aktualizacje wersji jądra zależą od wersji systemu operacyjnego Android w momencie uruchomienia urządzenia.
Bibliografia | Wersja na Androida | Wersja uruchamiania jądra | Minimalna wersja aktualizacji |
A-304554927 | 12 | 5.4 | 5.4.254 |
A-304560886 | 13 | 5.15 | 5.15.123 |
A-304560975 | 12 | 5.10 | 5.10.189 |
A-304560987 | 13 | 5.10 | 5.10.189 |
A-304561454 | 14 | 5.15 | 5.15.123 |
A-304561455 | 14 | 6.1 | 6.1.43 |
Komponent Arm
Luki te wpływają na komponenty ARM, a dalsze szczegóły można uzyskać bezpośrednio od ARM. Oceny dotkliwości tych problemów dokonuje bezpośrednio Arm.
CVE | Bibliografia | Krytyczność | Podskładnik |
CVE-2023-6363 | A-303632069 * | Wysoka | Mali |
CVE-2024-1067 | A-329506905 * | Wysoka | Mali |
CVE-2024-1395 | A-329506991 * | Wysoka | Mali |
Komponenty MediaTeka
Luki te dotyczą komponentów MediaTek. Dalsze szczegóły można uzyskać bezpośrednio od MediaTek. Ocena wagi tych problemów jest przeprowadzana bezpośrednio przez firmę MediaTek.
CVE | Bibliografia | Krytyczność | Podskładnik |
CVE-2023-32871 | A-309364193 M-ALPS08355514 * | Wysoka | DA |
CVE-2023-32873 | A-327972597 M-ALPS08583919 * | Wysoka | kluczInstaluj |
CVE-2024-20056 | A-327973818 M-ALPS08528185 * | Wysoka | moduł wstępnego ładowania |
CVE-2024-20057 | A-327973819 M-ALPS08587881 * | Wysoka | kluczInstaluj |
Komponenty Qualcomma
Luki te dotyczą komponentów Qualcomm i są szczegółowo opisane we właściwym biuletynie bezpieczeństwa Qualcomm lub alercie bezpieczeństwa. Ocena wagi tych problemów jest przeprowadzana bezpośrednio przez firmę Qualcomm.
CVE | Bibliografia | Krytyczność | Podskładnik |
CVE-2024-21471 | A-318393843 QC-CR#3621168 | Wysoka | Wyświetlacz |
CVE-2024-21475 | A-323919078 QC-CR#3530093 | Wysoka | Wideo |
CVE-2024-23351 | A-323918714 QC-CR#3650447 [ 2 ] | Wysoka | Wyświetlacz |
CVE-2024-23354 | A-323919320 QC-CR#3636888 [ 2 ] | Wysoka | Wyświetlacz |
Komponenty Qualcomm o zamkniętym kodzie źródłowym
Luki te dotyczą komponentów Qualcomm o zamkniętym kodzie źródłowym i są opisane bardziej szczegółowo we właściwym biuletynie bezpieczeństwa Qualcomm lub alercie bezpieczeństwa. Ocena wagi tych problemów jest przeprowadzana bezpośrednio przez firmę Qualcomm.
CVE | Bibliografia | Krytyczność | Podskładnik |
CVE-2023-33119 | A-309461253 * | Wysoka | Komponent o zamkniętym źródle |
CVE-2023-43529 | A-309460466 * | Wysoka | Komponent o zamkniętym źródle |
CVE-2023-43530 | A-309461471 * | Wysoka | Komponent o zamkniętym źródle |
CVE-2023-43531 | A-309461198 * | Wysoka | Komponent o zamkniętym źródle |
CVE-2024-21477 | A-323918871 * | Wysoka | Komponent o zamkniętym źródle |
CVE-2024-21480 | A-323918475 * | Wysoka | Komponent o zamkniętym źródle |