Google publikuje aktualizację zabezpieczeń systemu Android 05/2024. (P24-148)

cert.pse-online.pl 7 miesięcy temu

Biuletyn bezpieczeństwa systemu Android zawiera szczegółowe informacje na temat luk w zabezpieczeniach urządzeń z systemem Android. Poprawki zabezpieczeń z wersji 2024-05-05 lub nowszej rozwiązują wszystkie te problemy.

Najpoważniejszym z tych problemów jest krytyczna luka w zabezpieczeniach komponentu System, która może prowadzić do lokalnej eskalacji uprawnień bez konieczności posiadania dodatkowych uprawnień do wykonywania.

2024-05-01 Szczegóły luki w zabezpieczeniach na poziomie poprawki zabezpieczeń

W poniższych sekcjach podajemy szczegółowe informacje na temat każdej luki w zabezpieczeniach, która ma zastosowanie w wersji poprawki 2024-05-01.

Struktura

Najpoważniejsza luka w tej sekcji może prowadzić do lokalnej eskalacji uprawnień bez konieczności posiadania dodatkowych uprawnień do wykonywania.

CVEBibliografiaTypKrytycznośćZaktualizowane wersje AOSP
CVE-2024-0024A-293602317EoPWysoka12, 12L, 13, 14
CVE-2024-0025A-279428283EoPWysoka12, 12L, 13, 14
CVE-2024-23705A-293602970EoPWysoka12, 12L, 13, 14
CVE-2024-23708A-293301736EoPWysoka12, 12L, 13, 14

System

Najpoważniejsza luka w tej sekcji może prowadzić do lokalnej eskalacji uprawnień bez konieczności posiadania dodatkowych uprawnień do wykonywania.

CVEBibliografiaTypKrytycznośćZaktualizowane wersje AOSP
CVE-2024-23706A-328068777EoPKrytyczna14
CVE-2024-0043A-295549388EoPWysoka12, 12L, 13, 14
CVE-2024-23707A-316891059EoPWysoka14
CVE-2024-23709A-317780080IDWysoka12, 12L, 13, 14

Aktualizacje systemu Google Play

Następujące zagadnienia są zawarte w składnikach Project Mainline.

PodskładnikCVE
Zdrowie i KondycjaCVE-2024-23706
Komponenty Media FrameworkCVE-2024-23709
Kontroler uprawnieńCVE-2024-0043

2024-05-05 Szczegóły luki w zabezpieczeniach na poziomie poprawki zabezpieczeń

W poniższych sekcjach podajemy szczegółowe informacje na temat każdej luki w zabezpieczeniach, która ma zastosowanie w wersji poprawki z dnia 2024-05-05.

Jądro

Luka w tej sekcji może prowadzić do lokalnej eskalacji uprawnień w jądrze bez konieczności posiadania dodatkowych uprawnień do wykonywania.

CVEBibliografiaTypKrytycznośćPodskładnik
CVE-2023-4622A-299123598
Jądro nadrzędne [ 2 ] [ 3 ] [ 4 ]
EoPWysokaUniksa

Jądro LTS

Zaktualizowano następujące wersje jądra. Aktualizacje wersji jądra zależą od wersji systemu operacyjnego Android w momencie uruchomienia urządzenia.

BibliografiaWersja na AndroidaWersja uruchamiania jądraMinimalna wersja aktualizacji
A-304554927125.45.4.254
A-304560886135.155.15.123
A-304560975125.105.10.189
A-304560987135.105.10.189
A-304561454145.155.15.123
A-304561455146.16.1.43

Komponent Arm

Luki te wpływają na komponenty ARM, a dalsze szczegóły można uzyskać bezpośrednio od ARM. Oceny dotkliwości tych problemów dokonuje bezpośrednio Arm.

CVEBibliografiaKrytycznośćPodskładnik
CVE-2023-6363A-303632069 *WysokaMali
CVE-2024-1067A-329506905 *WysokaMali
CVE-2024-1395A-329506991 *WysokaMali

Komponenty MediaTeka

Luki te dotyczą komponentów MediaTek. Dalsze szczegóły można uzyskać bezpośrednio od MediaTek. Ocena wagi tych problemów jest przeprowadzana bezpośrednio przez firmę MediaTek.

CVEBibliografiaKrytycznośćPodskładnik
CVE-2023-32871A-309364193
M-ALPS08355514 *
WysokaDA
CVE-2023-32873A-327972597
M-ALPS08583919 *
WysokakluczInstaluj
CVE-2024-20056A-327973818
M-ALPS08528185 *
Wysokamoduł wstępnego ładowania
CVE-2024-20057A-327973819
M-ALPS08587881 *
WysokakluczInstaluj

Komponenty Qualcomma

Luki te dotyczą komponentów Qualcomm i są szczegółowo opisane we właściwym biuletynie bezpieczeństwa Qualcomm lub alercie bezpieczeństwa. Ocena wagi tych problemów jest przeprowadzana bezpośrednio przez firmę Qualcomm.

CVEBibliografiaKrytycznośćPodskładnik
CVE-2024-21471A-318393843
QC-CR#3621168
WysokaWyświetlacz
CVE-2024-21475A-323919078
QC-CR#3530093
WysokaWideo
CVE-2024-23351A-323918714
QC-CR#3650447 [ 2 ]
WysokaWyświetlacz
CVE-2024-23354A-323919320
QC-CR#3636888 [ 2 ]
WysokaWyświetlacz

Komponenty Qualcomm o zamkniętym kodzie źródłowym

Luki te dotyczą komponentów Qualcomm o zamkniętym kodzie źródłowym i są opisane bardziej szczegółowo we właściwym biuletynie bezpieczeństwa Qualcomm lub alercie bezpieczeństwa. Ocena wagi tych problemów jest przeprowadzana bezpośrednio przez firmę Qualcomm.

CVEBibliografiaKrytycznośćPodskładnik
CVE-2023-33119A-309461253 *WysokaKomponent o zamkniętym źródle
CVE-2023-43529A-309460466 *WysokaKomponent o zamkniętym źródle
CVE-2023-43530A-309461471 *WysokaKomponent o zamkniętym źródle
CVE-2023-43531A-309461198 *WysokaKomponent o zamkniętym źródle
CVE-2024-21477A-323918871 *WysokaKomponent o zamkniętym źródle
CVE-2024-21480A-323918475 *WysokaKomponent o zamkniętym źródle
Idź do oryginalnego materiału