Google publikuje aktualizację zabezpieczeń systemu Android 09/2024. (P24-281)

cert.pse-online.pl 3 miesięcy temu

Android Security Bulletin zawiera szczegóły luk w zabezpieczeniach urządzeń z systemem Android. Poziomy poprawek zabezpieczeń z 2024-09-05 lub nowsze rozwiązują wszystkie te problemy.

Najpoważniejszym z tych problemów jest duża luka w zabezpieczeniach w komponencie Framework, która może prowadzić do lokalnej eskalacji uprawnień bez konieczności posiadania dodatkowych uprawnień do wykonywania.

2024-09-01 szczegóły dotyczące luk w zabezpieczeniach

Poniżej przedstawiamy szczegółowe informacje na temat każdej z luk w zabezpieczeniach, których dotyczy poprawka z dnia 1 września 2024 r.

Framework

Najpoważniejsza luka w zabezpieczeniach w tej sekcji może doprowadzić do lokalnej eskalacji uprawnień bez konieczności posiadania dodatkowych uprawnień do wykonywania.

CVEReferencjeTypKrytycznośćZaktualizowane wersje AOSP
CVE-2024-32896A-324321147 [2]EoPWysoki12, 12L, 13, 14
CVE-2024-40658A-329641908EoPWysoki12, 12L, 13, 14
CVE-2024-40662A-261721900EoPWysoki12, 12L, 13, 14

System

Najpoważniejsza luka w zabezpieczeniach w tej sekcji może doprowadzić do lokalnej eskalacji uprawnień bez konieczności posiadania dodatkowych uprawnień do wykonywania.

CVEReferencjeTypKrytycznośćZaktualizowane wersje AOSP
CVE-2024-40650A-293199910EoPWysoki12, 12L, 13, 14
CVE-2024-40652A-327749022EoPWysoki12, 12L, 13, 14
CVE-2024-40654A-333364513EoPWysoki12, 12L, 13, 14
CVE-2024-40655A-300904123EoPWysoki12, 12L, 13, 14
CVE-2024-40657A-341886134EoPWysoki12, 12L, 13, 14
CVE-2024-40656A-329058967IDWysoki12, 12L, 13, 14
CVE-2024-40659A-336976105DoSWysoki14

Aktualizacje systemu Google Play

Poniższe podatności zostały uwzględnione w komponentach Project Mainline.

SubkomponentNumer CVE
Remote Key ProvisioningCVE-2024-40659

2024-09-05 szczegóły dotyczące luk w zabezpieczeniach

W poniższych sekcjach podajemy szczegółowe informacje na temat każdej z luk w zabezpieczeniach, których dotyczy poprawka z dnia 2024-09-05.

Kernel

Luka w zabezpieczeniach w tej sekcji może doprowadzić do lokalnej eskalacji uprawnień bez konieczności posiadania dodatkowych uprawnień do wykonywania.

Numer CVEReferencjeTypKrytycznośćSubkomponent
CVE-2024-36972A-342490466
Upstream kernel [2] [3] [4] [5] [6]
EoPWysokiNet

Komponenty Arm

Ta luka dotyczy komponentów Arm, a dalsze szczegóły są dostępne bezpośrednio od Arm. Ocenę powagi tego problemu zapewnia bezpośrednio Arm.

Numer CVEReferencjeKrytycznośćSubkomponent
CVE-2024-3655A-346629290 *WysokiMali

Imagination Technologies

Te luki dotyczą komponentów Imagination Technologies, a dalsze szczegóły są dostępne bezpośrednio w Imagination Technologies. Ocenę powagi tych problemów zapewnia bezpośrednio Imagination Technologies.

Numer CVEReferencjeKrytycznośćSubkomponent
CVE-2024-23716A-350535746 *WysokiPowerVR-GPU
CVE-2024-31336A-337949672 *WysokiPowerVR-GPU

Komponenty Unisoc

Te luki dotyczą komponentów Unisoc, a dalsze szczegóły są dostępne bezpośrednio w Unisoc. Ocenę powagi tych problemów zapewnia bezpośrednio Unisoc.

Numer CVEReferencjeKrytycznośćSubkomponent
CVE-2024-39431A-349917018
U-2638126 *
WysokiModem
CVE-2024-39432A-349916584
U-2638173 *
WysokiModem

Komponenty Qualcomm

Te luki dotyczą komponentów Qualcomm i są opisane bardziej szczegółowo we właściwym biuletynie bezpieczeństwa Qualcomm lub alercie bezpieczeństwa. Ocenę powagi tych problemów zapewnia bezpośrednio Qualcomm.

Numer CVEReferencjeKrytycznośćSubkomponent
CVE-2024-33042A-344620519
QC-CR#3774878
KrytycznyWLAN
CVE-2024-33052A-344620630
QC-CR#3773240
KrytycznyWLAN
CVE-2024-33034A-350500940
QC-CR#3744850
WysokiWyświetlacz
CVE-2024-33035A-344620673
QC-CR#3734251
WysokiWyświetlacz
CVE-2024-33038A-344620773
QC-CR#3696086
WysokiKamera
CVE-2024-33043A-344620433
QC-CR#3774849
WysokiWLAN
CVE-2024-33045A-344620353
QC-CR#3745620
WysokiBootloader
CVE-2024-33048A-344620292
QC-CR#3704739
QC-CR#3707241
WysokiWLAN
CVE-2024-33050A-344620238
QC-CR#3717568
WysokiWLAN
CVE-2024-33054A-344620733
QC-CR#3667735
WysokiKamera
CVE-2024-33057A-344620215
QC-CR#3699767
WysokiWLAN
CVE-2024-33060A-350500584
QC-CR#3735984 [2]
WysokiKernel

Komponenty Qualcomm closed-source

Te luki dotyczą komponentów Qualcomm o zamkniętym kodzie źródłowym i są opisane bardziej szczegółowo we właściwym biuletynie bezpieczeństwa Qualcomm lub alercie bezpieczeństwa. Ocenę powagi tych problemów zapewnia bezpośrednio Qualcomm.

Numer CVEReferencjeKrytycznośćSubkomponent
CVE-2024-23358A-328083897 *WysokiKomponent closed-source
CVE-2024-23359A-328083933 *WysokiKomponent closed-source
CVE-2024-23362A-328084308 *WysokiKomponent closed-source
CVE-2024-23364A-328083671 *WysokiKomponent closed-source
CVE-2024-23365A-328083987 *WysokiKomponent closed-source
CVE-2024-33016A-339043498 *WysokiKomponent closed-source
CVE-2024-33051A-344620373 *WysokiKomponent closed-source
Idź do oryginalnego materiału