Android Güvenlik Bülteni, güvenlik açıklarının ayrıntılarını içerir Android cihazları etkiliyor. Şu güvenlik yaması düzeyleri: 05.03.2024 veya sonraki bir tarihte bu sorunların tamamı giderilmelidir. Bir cihazın güvenlik yaması düzeyini nasıl kontrol edeceğinizi öğrenmek için bkz. Android sürümünüzü kontrol edin ve güncelleyin.
Android iş ortakları, tüm sorunlar konusunda en az bir ay önce bilgilendirilir yayın. Bu sorunlar için kaynak kodu yamaları Android Açık Kaynak Proje (AOSP) deposudur ve bu bültenden bağlantı içerir. Bu bülten AOSP dışındaki yamaların bağlantılarını da içerir.
Bu sorunların en ciddisi, Google Cloud Search'te bulunan Ekstra gerektirmeden uzaktan kod yürütülmesine yol açabilecek sistem bileşeni yürütme ayrıcalığına sahip olmanız gerekir. Önem derecesi, değerlendirmenin bundan etkilenen bir cihazda, güvenlik açığından yararlanmanız platform ve hizmet hafifletmelerinin geliştirme amacıyla kapatıldığı varsayıldığında veya başarıyla atlatıldığından emin olun.
Android ve Google Play Protect çözümleriyle ilgili daha fazla bilgi için Android güvenlik platformu koruma ve Android platformunun güvenliğini iyileştiren Google Play Protect.
Android ve Google hizmeti çözümler
Bu, Google Ads uzmanı tarafından sağlanan çözümlerin Android güvenlik platformu ve hizmet korumaları (örneğin, Google Play Protect. Bu özellikler, ve Android'de güvenlik açıklarından başarılı bir şekilde yararlanılma olasılığını artırır.
- Android'de birçok sorunun istismar edilmesini zorlaştırmak için Android platformunun yeni sürümlerindeki geliştirmeler hakkında daha fazla bilgi edinin. Hepinize kullanıcı Android'in en son sürümüne güncelleme yapabilirsiniz.
- Android güvenlik ekibi, kötüye kullanım olup olmadığını Google Play Koruma ve kullanıcıları Potansiyel olarak Zararlı Uygulamalar. Google Play Protect şu cihazlarda varsayılan olarak etkindir: cihazlar Google ile Mobil cihaz Hizmetler ve Google Play'in dışında kalan süre.
01.03.2024 güvenlik yaması düzeyindeki güvenlik açığı ayrıntıları
Aşağıdaki bölümlerde, söz konusu güvenlik önlemlerinin her biri 01.03.2024 yama düzeyine uygulanan güvenlik açıkları. Güvenlik açıkları, etkiledikleri bileşenin altında gruplandırılır. Sorunlar aşağıdaki tablolarda açıklanmıştır ve bu sorunlar arasında, güvenlik açığının türünü, önem, ve güncellenmiş AOSP sürümleri (geçerli olduğunda). Mevcut olduğunda, sorunu ele alan kamu değişikliği hata kimliği (ör. AOSP değişiklik listesi) Tek bir hatayla ilgili birden fazla değişiklik olduğunda ek referanslar bu hata kimliğini takip eden numaralara bağlanmış. Android 10 ve sonraki sürümleri çalıştıran cihazlar, güvenlik güncellemelerinin yanı sıra Google Oynat sistem güncellemeleri başlıklı makaleye bakın.
Çerçeve
Bu bölümdeki en ciddi güvenlik açığı, yerel soruna neden olabilir ek yürütme ayrıcalığına ihtiyaç duymadan çalışır.
| CVE | Referanslar | Tür | Önem derecesi | Güncellenen AOSP sürümleri |
|---|---|---|---|---|
| CVE-2024-0046 | A-299441833 | EoP | Yüksek | 12, 12L, 13, 14 |
| CVE-2024-0048 | A-316893159 | EoP | Yüksek | 12, 12L, 13, 14 |
| CVE-2024-0049 | A-273936274 | EoP | Yüksek | 12, 12L, 13, 14 |
| CVE-2024-0050 | A-273935108 | EoP | Yüksek | 12, 12L, 13, 14 |
| CVE-2024-0051 | A-276442130 | EoP | Yüksek | 12, 12L, 13, 14 |
| CVE-2024-0053 | A-281525042 | Kimlik | Yüksek | 12, 12L, 13, 14 |
| CVE-2024-0047 | A-311687929 [2] [3] | DoS | Yüksek | 14 |
Sistem
Bu bölümdeki en ciddi güvenlik açığı, uzak koda neden olabilir ek yürütme ayrıcalığına ihtiyaç duymadan yürütülmesini sağlar.
| CVE | Referanslar | Tür | Önem derecesi | Güncellenen AOSP sürümleri |
|---|---|---|---|---|
| CVE-2024-0039 | A-295887535 [2] [3] | RCE | Kritik | 12, 12L, 13, 14 |
| CVE-2024-23717 | A-318374503 | EoP | Kritik | 12, 12L, 13, 14 |
| CVE-2023-40081 | A-284297452 | Kimlik | Yüksek | 12, 12L, 13, 14 |
| CVE-2024-0045 | A-300903400 | Kimlik | Yüksek | 12, 12L, 13, 14 |
| CVE-2024-0052 | A-303871379 | Kimlik | Yüksek | 14 |
Google Play sistem güncellemeleri
Google Play sistem güncellemelerinde ele alınan bir güvenlik sorunu yok (Mainline Projesi) bu ay içinde sorabilirsiniz.
05.03.2024 güvenlik yaması düzeyindeki güvenlik açığı ayrıntıları
Aşağıdaki bölümlerde, söz konusu güvenlik önlemlerinin her biri 05.03.2024 yama düzeyine uygulanan güvenlik açıkları. Güvenlik açıkları, etkiledikleri bileşenin altında gruplandırılır. Sorunlar aşağıdaki tablolarda açıklanmıştır ve bu sorunlar arasında, güvenlik açığının türünü, önem, ve güncellenmiş AOSP sürümleri (geçerli olduğunda). Mevcut olduğunda, sorunu ele alan kamu değişikliği hata kimliği (ör. AOSP değişiklik listesi) Tek bir hatayla ilgili birden fazla değişiklik olduğunda ek referanslar bu hata kimliğini takip eden numaralara bağlanmış.
AMLogic
Bu güvenlik açıkları AMLogic bileşenlerini etkilemektedir. Daha fazla ayrıntı doğrudan AMLogic'ten ulaşılabilir. Bu sorunların önem derecesi doğrudan AMLogic tarafından sağlanır.
| CVE | Referanslar | Önem derecesi | Alt bileşen |
|---|---|---|---|
| CVE-2023-48424 |
A-315373062 * | Yüksek | Önyükleyici |
| CVE-2023-48425 |
A-319132171 * | Yüksek | Önyükleyici |
Kol bileşenleri
Bu güvenlik açıkları Arm bileşenlerini etkilemektedir. Daha fazla ayrıntıyı mevcuttur. doğrudan Arm. Bu sorunların önem derecesi doğrudan Arm tarafından sağlanır.
| CVE | Referanslar | Önem derecesi | Alt bileşen |
|---|---|---|---|
| CVE-2023-6143 |
A-316197619 * | Yüksek | Mali |
| CVE-2023-6241 |
A-316206835 * | Yüksek | Mali |
MediaTek bileşenleri
Bu güvenlik açıkları MediaTek bileşenlerini etkilemektedir. Diğer ayrıntılar ise doğrudan MediaTek'ten edinilebilir. Bu sorunların önem derecesi doğrudan MediaTek tarafından sağlanır.
| CVE | Referanslar | Önem derecesi | Alt bileşen |
|---|---|---|---|
| CVE-2024-20005 |
A-318303317
M-ALPS08355599 * |
Yüksek | da |
| CVE-2024-20022 |
A-318302377
M-ALPS08528255 * |
Yüksek | lk |
| CVE-2024-20023 |
A-318302378
M-ALPS08541638 * |
Yüksek | Flashc |
| CVE-2024-20024 |
A-318316114
M-ALPS08541635 * |
Yüksek | Flashc |
| CVE-2024-20025 |
A-318316115
M-ALPS08541686 * |
Yüksek | da |
| CVE-2024-20027 |
A-318316117
M-ALPS08541632 * |
Yüksek | da |
| CVE-2024-20028 |
A-318310276
M-ALPS08541632 * |
Yüksek | da |
| CVE-2024-20020 |
A-318302372
M-ALPS08522504 * |
Yüksek | OPTİMİZASYON |
| CVE-2024-20026 |
A-318310274
M-ALPS08541632 * |
Yüksek | da |
Qualcomm bileşenleri
Bu güvenlik açıkları Qualcomm bileşenlerini etkiler ve daha ayrıntılı açıklamalar veya güvenlik uyarısında bulunan tüm ayrıntıları içerdiğinden emin olun. Bu sorunların önem derecesi doğrudan Qualcomm tarafından sağlanır.
| CVE | Referanslar | Önem derecesi | Alt bileşen |
|---|---|---|---|
| CVE-2023-43546 |
A-314790498
QC-CR#3602482 |
Yüksek | Güvenlik |
| CVE-2023-43547 |
A-314791076
QC-CR#3602462 [2] |
Yüksek | Güvenlik |
| CVE-2023-43550 |
A-314791623
QC-CR#3595842 |
Yüksek | Çekirdek |
| CVE-2023-43552 |
A-314791054
QC-CR#3583521 |
Yüksek | WLAN |
| CVE-2023-43553 |
A-314791341
QC-CR#3580821 |
Yüksek | WLAN |
Qualcomm kapalı kaynak bileşenleri
Bu güvenlik açıkları Qualcomm kapalı kaynak bileşenlerini etkiler ve ilgili Qualcomm güvenlik bülteninde daha ayrıntılı olarak açıklanan güvenlik uyarısı. Bu sorunların önem derecesi doğrudan Qualcomm tarafından sağlanır.
| CVE | Referanslar | Önem derecesi | Alt bileşen |
|---|---|---|---|
| CVE-2023-28578 |
A-285902353 * | Kritik | Kapalı kaynak bileşeni |
| CVE-2023-33042 |
A-295039320 * | Yüksek | Kapalı kaynak bileşeni |
| CVE-2023-33066 |
A-303101493 * | Yüksek | Kapalı kaynak bileşeni |
| CVE-2023-33105 |
A-314790953 * | Yüksek | Kapalı kaynak bileşeni |
| CVE-2023-43539 |
A-314791241 * | Yüksek | Kapalı kaynak bileşeni |
| CVE-2023-43548 |
A-314790932 * | Yüksek | Kapalı kaynak bileşeni |
| CVE-2023-43549 |
A-314791266 * | Yüksek | Kapalı kaynak bileşeni |
Sık sorulan sorular ve cevaplar
Bu bölümde, bu bölümü okuduktan sonra aklınıza gelebilecek genel sorular yanıtlanmaktadır. bülten.
1. Cihazımın bu sorunları giderecek şekilde güncellenip güncellenmediğini nasıl anlarım? sorun yaşıyor musunuz?
Bir cihazın güvenlik yaması düzeyini nasıl kontrol edeceğinizi öğrenmek için bkz. Android sürümünüzü kontrol edin ve güncelleyin.
- 01.03.2024 veya sonraki bir adres için güvenlik yaması düzeyleri 01.03.2024 güvenlik yamasıyla ilgili tüm sorunlar seviyesidir.
- 05.03.2024 veya sonraki bir adres için güvenlik yaması düzeyleri 05.03.2024 güvenlik yaması ile ilgili tüm sorunlar ve önceki tüm yama seviyeleri için geçerlidir.
Bu güncellemeleri içeren cihaz üreticileri yama dizesini ayarlamalıdır seviye:
- [ro.build.version.security_yama]:[01.03.2024]
- [ro.build.version.security_yama]:[05.03.2024]
Android 10 veya sonraki sürümleri çalıştıran bazı cihazlarda Google Play sistem güncellemesi 01.03.2024 ile eşleşen bir tarih dizesi olur güvenlik yaması düzeyi. Nasıl yapacağınızla ilgili daha fazla bilgi için lütfen bu makaleyi inceleyin. güvenlik güncellemelerini yükleyebilir.
2. Bu bültende neden iki güvenlik yaması düzeyi var?
Bu bültende iki güvenlik yaması düzeyi bulunmaktadır. Böylece Android iş ortakları, "the" güvenlik açıklarının bir alt kümesini düzeltme esnekliğine sahip olur. Android cihazlar daha hızlı. Android iş ortaklarının, tüm gizliliklerini sorunlar en son güvenlik yaması düzeyini kullanın.
- 01.03.2024 güvenlik yaması seviyesini kullanan cihazlar söz konusu güvenlik yaması düzeyiyle ilişkili tüm sorunları da içermelidir. olması önceki güvenlik bültenlerinde bildirilen tüm sorunlar için düzeltmeler.
- 05.03.2024 güvenlik yaması düzeyini kullanan cihazlar veya daha yeni sürümler, bu (ve önceki) güvenlik kapsamında geçerli tüm yamaları içermelidir. bülten.
İş ortaklarının, karşılaştıkları tüm sorunların çözümlerini paket halinde sunması önerilir. tek bir güncellemede ele alacağız.
3. Tür sütunundaki girişler ne anlama geliyor?
Güvenlik açığı ayrıntıları tablosunun Tür sütunundaki girişler Bu da güvenlik açığının sınıflandırmasına bakmaktır.
| Kısaltma | Tanım |
|---|---|
| RCE | Uzaktan kod yürütme |
| EoP | Ayrıcalık yükseltme |
| Kimlik | Bilgilerin ifşa edilmesi |
| DoS | Hizmet reddi |
| Yok | Sınıflandırma yok |
4. Referanslar sütunundaki girişler ne anlama geliyor?
Güvenlik açığı ayrıntılarının Referanslar sütunundaki girişler tablo, kullanıcının bağlı olduğu kuruluşu tanımlayan referans ait olması gerekir.
| Ön numara | Referans |
|---|---|
| A- | Android hata kimliği |
| Kalite Kontrol | Qualcomm referans numarası |
| A- | MediaTek referans numarası |
| H- | NVIDIA referans numarası |
| B- | Broadcom referans numarası |
| U- | UNISOC referans numarası |
5. Referanslar'da Android hata kimliğinin yanındaki * simgesi ne anlama gelir? sütununun anlamı nedir?
Herkese açık olmayan sayılarda, ilgili yayının yanında * işareti bulunur referans kimliği. Bu sorunla ilgili güncelleme, genellikle Pixel cihazlar için ikili program sürücülerini Google Geliştirici sitesi.
6. Güvenlik açıkları neden bu bülten ile iş ortağı güvenlik bültenleri (örneğin, Pixel bültenini izleyin.
Bu güvenlik bülteninde açıklanan güvenlik açıkları Android'de en son güvenlik yaması düzeyini beyan etmek için gerekir cihazlar. cihaz / iş ortağı güvenlik bültenleri artık gerekli değildir. güvenlik yaması düzeyi tanımlama. Android cihaz ve yonga seti üreticileri kendi ürünlerine özel güvenlik açığı ayrıntılarını yayınlayabilir, örneğin: Google Huawei LGE, Motorola Nokia, veya Samsun.
Sürümler
| Sürüm | Tarih | Notlar |
|---|---|---|
| 1,0 | 4 Mart 2024 | Bülten Yayınlandı. |
| 1,1 | 29 Temmuz 2024 | CVE tabloları güncellendi. |