Android Security Bulletin zawiera szczegóły luk w zabezpieczeniach urządzeń z systemem Android. Poziomy poprawek zabezpieczeń z 2024-11-05 lub nowsze rozwiązują wszystkie te problemy.
Najpoważniejszym z tych problemów jest duża luka w zabezpieczeniach komponentu System, która może prowadzić do zdalnego wykonania kodu bez konieczności posiadania dodatkowych uprawnień do wykonywania.
2024-11-01 szczegóły dotyczące poziomu luk w zabezpieczeniach
W poniższych sekcjach podajemy szczegóły dotyczące każdej z luk w zabezpieczeniach, które dotyczą poziomu poprawki z 2024-11-01.
Struktura
Najpoważniejsza luka w zabezpieczeniach w tej sekcji może doprowadzić do lokalnej eskalacji uprawnień bez konieczności posiadania dodatkowych uprawnień do wykonywania.
CVE | Odniesienia | Typ | Krytyczność | Zaktualizowane wersje AOSP |
CVE-2024-40660 | A-347307756 [ 2 ] | EoP | Wysoka | 14, 15 |
CVE-2024-43081 | Numer A-341256043 | EoP | Wysoka | 12, 12L, 13, 14, 15 |
CVE-2024-43085 | Numer A-353712853 | EoP | Wysoka | 12, 12L, 13, 14, 15 |
CVE-2024-43093 | Numer A-341680936 | EoP | Wysoka | 12, 13, 14, 15 |
CVE-2024-43082 | Numer A-296915959 | ID | Wysoka | 12, 12L |
CVE-2024-43084 | Numer A-281044385 | ID | Wysoka | 12, 12L, 13, 14, 15 |
CVE-2024-43086 | Numer A-343440463 | ID | Wysoka | 12, 12L, 13, 14, 15 |
System
Najpoważniejsza luka w zabezpieczeniach w tej sekcji może umożliwić zdalne wykonanie kodu bez konieczności posiadania dodatkowych uprawnień do wykonywania.
CVE | Odniesienia | Typ | Krytyczność | Zaktualizowane wersje AOSP |
CVE-2024-43091 | Numer A-344620577 | RCE | Wysoka | 12, 12L, 13, 14, 15 |
CVE-2024-29779 | Numer A-329701910 | EoP | Wysoka | 14 |
CVE-2024-34719 | Numer A-242996380 | EoP | Wysoka | 12, 12L, 13, 14 |
CVE-2024-40661 | Numer A-308138085 | EoP | Wysoka | 12, 12L, 13, 14 |
CVE-2024-43080 | Numer A-330722900 | EoP | Wysoka | 12, 12L, 13, 14, 15 |
CVE-2024-43087 | Numer A-353700779 | EoP | Wysoka | 12, 12L, 13, 14, 15 |
CVE-2024-43088 | Numer A-326057017 | EoP | Wysoka | 12, 12L, 13, 14, 15 |
CVE-2024-43089 | Numer A-304280682 | EoP | Wysoka | 12, 12L, 13, 14, 15 |
CVE-2024-43090 | Numer A-331180422 | ID | Wysoka | 12, 12L, 13, 14 |
CVE-2024-43083 | Numer A-348352288 | DoS | Wysoka | 12, 12L, 13, 14, 15 |
Aktualizacje systemu Google Play
Poniższe problemy zostały uwzględnione w komponentach Project Mainline.
Podkomponent | CVE |
Dokumenty UI | CVE-2024-43093 |
Dostawca Mediów | CVE-2024-43089 |
Kontroler uprawnień | CVE-2024-40661 |
Wi-Fi | CVE-2024-43083 |
2024-11-05 szczegóły dotyczące poziomu luk w zabezpieczeniach
W poniższych sekcjach podajemy szczegóły dotyczące każdej z luk w zabezpieczeniach, które dotyczą poziomu poprawki z 2024-11-05.
Jądro
Najpoważniejsza luka w zabezpieczeniach w tej sekcji może doprowadzić do lokalnej eskalacji uprawnień bez konieczności posiadania dodatkowych uprawnień do wykonywania.
CVE | Odniesienia | Typ | Krytyczność | Podkomponent |
CVE-2024-36978 | A-349777785 Jądro upstream [ 2 ] | EoP | Wysoka | Internet |
CVE-2024-46740 | A-352520660 Jądro upstream [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] | EoP | Wysoka | Spoiwo |
Jądro LTS
Następujące wersje jądra zostały zaktualizowane. Aktualizacje wersji jądra zależą od wersji systemu Android OS w momencie uruchomienia urządzenia.
Odniesienia | Wersja startowa Androida | Wersja startowa jądra | Minimalna wersja aktualizacji |
Numer A-348473863 | 12 | 5.4 | 5.4.274 |
Numer A-348681334 | 12 | 4.19 | 4.19.312 |
Imagination Technologies
Te luki dotyczą komponentów Imagination Technologies, a dalsze szczegóły są dostępne bezpośrednio w Imagination Technologies. Ocenę powagi tych problemów zapewnia bezpośrednio Imagination Technologies.
CVE | Odniesienia | Krytyczność | Podkomponent |
CVE-2024-34747 | Numer A-346643520 * | Wysoka | PowerVR-GPU |
CVE-2024-40671 | Numer A-355477536 * | Wysoka | PowerVR-GPU |
Te luki dotyczą komponentów Imagination Technologies, a dalsze szczegóły są dostępne bezpośrednio w Imagination Technologies. Ocenę powagi tych problemów zapewnia bezpośrednio Imagination Technologies.
CVE | Odniesienia | Krytyczność | Podkomponent |
CVE-2023-35659 | Numer A-350006107 * | Wysoka | PowerVR-GPU |
CVE-2023-35686 | Numer A-350527097 * | Wysoka | PowerVR-GPU |
CVE-2024-23715 | Numer A-350530745 * | Wysoka | PowerVR-GPU |
CVE-2024-31337 | Numer A-337944529 * | Wysoka | PowerVR-GPU |
CVE-2024-34729 | Numer A-331437862 * | Wysoka | PowerVR-GPU |
Komponenty MediaTek
Te luki dotyczą komponentów MediaTek, a dalsze szczegóły są dostępne bezpośrednio od MediaTek. Ocenę powagi tych problemów zapewnia bezpośrednio MediaTek.
CVE | Odniesienia | Krytyczność | Podkomponent |
CVE-2024-20104 | A-363850556 M-ALPS09073261 * | Wysoka | DA |
CVE-2024-20106 | A-363849996 M-ALPS08960505 * | Wysoka | m4u |
Komponenty Qualcomm
Te luki dotyczą komponentów Qualcomm i są opisane bardziej szczegółowo we właściwym biuletynie bezpieczeństwa Qualcomm lub alercie bezpieczeństwa. Ocenę powagi tych problemów zapewnia bezpośrednio Qualcomm.
CVE | Odniesienia | Krytyczność | Podkomponent |
CVE-2024-21455 | A-357616450 QC-CR#3839449 [ 2 ] QC-CR#3875202 [ 2 ] | Wysoka | Jądro |
CVE-2024-38402 | A-364017423 QC-CR#3890158 | Wysoka | Jądro |
CVE-2024-38405 | A-357615761 QC-CR#3754687 | Wysoka | Sieć bezprzewodowa |
CVE-2024-38415 | A-357616194 QC-CR#3775520 [ 2 ] | Wysoka | Kamera |
CVE-2024-38421 | A-357616018 QC-CR#3793941 | Wysoka | Wyświetlacz |
CVE-2024-38422 | A-357616000 QC-CR#3794268 [ 2 ] [ 3 ] | Wysoka | Audio |
CVE-2024-38423 | A-357615775 QC-CR#3799033 | Wysoka | Wyświetlacz |
CVE-2024-43047 | A-364017103 QC-CR#3883647 | Wysoka | Jądro |
Zamknięte komponenty Qualcomm
Te luki dotyczą komponentów Qualcomm o zamkniętym kodzie źródłowym i są opisane bardziej szczegółowo we właściwym biuletynie bezpieczeństwa Qualcomm lub alercie bezpieczeństwa. Ocenę powagi tych problemów zapewnia bezpośrednio Qualcomm.
CVE | Odniesienia | Krytyczność | Podkomponent |
CVE-2024-38408 | Numer A-357615875 * | Krytyczny | Komponent o zamkniętym kodzie źródłowym |
CVE-2024-23385 | Numer A-339043003 * | Wysoka | Komponent o zamkniętym kodzie źródłowym |
CVE-2024-38403 | Numer A-357615948 * | Wysoka | Komponent o zamkniętym kodzie źródłowym |
CVE-2024-38424 | Numer A-357616230 * | Wysoka | Komponent o zamkniętym kodzie źródłowym |