Google publikuje aktualizację zabezpieczeń systemu Android 11/2024. (P24-371)

utworzone przez | lis 7, 2024 | Aktualizacje

Android Security Bulletin zawiera szczegóły luk w zabezpieczeniach urządzeń z systemem Android. Poziomy poprawek zabezpieczeń z 2024-11-05 lub nowsze rozwiązują wszystkie te problemy.

Najpoważniejszym z tych problemów jest duża luka w zabezpieczeniach komponentu System, która może prowadzić do zdalnego wykonania kodu bez konieczności posiadania dodatkowych uprawnień do wykonywania.

2024-11-01 szczegóły dotyczące poziomu luk w zabezpieczeniach

W poniższych sekcjach podajemy szczegóły dotyczące każdej z luk w zabezpieczeniach, które dotyczą poziomu poprawki z 2024-11-01.

Struktura

Najpoważniejsza luka w zabezpieczeniach w tej sekcji może doprowadzić do lokalnej eskalacji uprawnień bez konieczności posiadania dodatkowych uprawnień do wykonywania.

CVEOdniesieniaTypKrytycznośćZaktualizowane wersje AOSP
CVE-2024-40660A-347307756 [ 2 ]EoPWysoka14, 15
CVE-2024-43081Numer A-341256043EoPWysoka12, 12L, 13, 14, 15
CVE-2024-43085Numer A-353712853EoPWysoka12, 12L, 13, 14, 15
CVE-2024-43093Numer A-341680936EoPWysoka12, 13, 14, 15
CVE-2024-43082Numer A-296915959IDWysoka12, 12L
CVE-2024-43084Numer A-281044385IDWysoka12, 12L, 13, 14, 15
CVE-2024-43086Numer A-343440463IDWysoka12, 12L, 13, 14, 15

System

Najpoważniejsza luka w zabezpieczeniach w tej sekcji może umożliwić zdalne wykonanie kodu bez konieczności posiadania dodatkowych uprawnień do wykonywania.

CVEOdniesieniaTypKrytycznośćZaktualizowane wersje AOSP
CVE-2024-43091Numer A-344620577RCEWysoka12, 12L, 13, 14, 15
CVE-2024-29779Numer A-329701910EoPWysoka14
CVE-2024-34719Numer A-242996380EoPWysoka12, 12L, 13, 14
CVE-2024-40661Numer A-308138085EoPWysoka12, 12L, 13, 14
CVE-2024-43080Numer A-330722900EoPWysoka12, 12L, 13, 14, 15
CVE-2024-43087Numer A-353700779EoPWysoka12, 12L, 13, 14, 15
CVE-2024-43088Numer A-326057017EoPWysoka12, 12L, 13, 14, 15
CVE-2024-43089Numer A-304280682EoPWysoka12, 12L, 13, 14, 15
CVE-2024-43090Numer A-331180422IDWysoka12, 12L, 13, 14
CVE-2024-43083Numer A-348352288DoSWysoka12, 12L, 13, 14, 15

Aktualizacje systemu Google Play

Poniższe problemy zostały uwzględnione w komponentach Project Mainline.

PodkomponentCVE
Dokumenty UICVE-2024-43093
Dostawca MediówCVE-2024-43089
Kontroler uprawnieńCVE-2024-40661
Wi-FiCVE-2024-43083

2024-11-05 szczegóły dotyczące poziomu luk w zabezpieczeniach

W poniższych sekcjach podajemy szczegóły dotyczące każdej z luk w zabezpieczeniach, które dotyczą poziomu poprawki z 2024-11-05.

Jądro

Najpoważniejsza luka w zabezpieczeniach w tej sekcji może doprowadzić do lokalnej eskalacji uprawnień bez konieczności posiadania dodatkowych uprawnień do wykonywania.

CVEOdniesieniaTypKrytycznośćPodkomponent
CVE-2024-36978A-349777785
Jądro upstream [ 2 ]		EoPWysokaInternet
CVE-2024-46740A-352520660
Jądro upstream [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ]		EoPWysokaSpoiwo

Jądro LTS

Następujące wersje jądra zostały zaktualizowane. Aktualizacje wersji jądra zależą od wersji systemu Android OS w momencie uruchomienia urządzenia.

OdniesieniaWersja startowa AndroidaWersja startowa jądraMinimalna wersja aktualizacji
Numer A-348473863125.45.4.274
Numer A-348681334124.194.19.312

 

Imagination Technologies

Te luki dotyczą komponentów Imagination Technologies, a dalsze szczegóły są dostępne bezpośrednio w Imagination Technologies. Ocenę powagi tych problemów zapewnia bezpośrednio Imagination Technologies.

CVEOdniesieniaKrytycznośćPodkomponent
CVE-2024-34747Numer A-346643520 *WysokaPowerVR-GPU
CVE-2024-40671Numer A-355477536 *WysokaPowerVR-GPU

Te luki dotyczą komponentów Imagination Technologies, a dalsze szczegóły są dostępne bezpośrednio w Imagination Technologies. Ocenę powagi tych problemów zapewnia bezpośrednio Imagination Technologies.

CVEOdniesieniaKrytycznośćPodkomponent
CVE-2023-35659Numer A-350006107 *WysokaPowerVR-GPU
CVE-2023-35686Numer A-350527097 *WysokaPowerVR-GPU
CVE-2024-23715Numer A-350530745 *WysokaPowerVR-GPU
CVE-2024-31337Numer A-337944529 *WysokaPowerVR-GPU
CVE-2024-34729Numer A-331437862 *WysokaPowerVR-GPU

Komponenty MediaTek

Te luki dotyczą komponentów MediaTek, a dalsze szczegóły są dostępne bezpośrednio od MediaTek. Ocenę powagi tych problemów zapewnia bezpośrednio MediaTek.

CVEOdniesieniaKrytycznośćPodkomponent
CVE-2024-20104A-363850556
M-ALPS09073261 *		WysokaDA
CVE-2024-20106A-363849996
M-ALPS08960505 *		Wysokam4u

Komponenty Qualcomm

Te luki dotyczą komponentów Qualcomm i są opisane bardziej szczegółowo w odpowiednim biuletynie bezpieczeństwa Qualcomm lub alercie bezpieczeństwa. Ocenę powagi tych problemów zapewnia bezpośrednio Qualcomm.

CVEOdniesieniaKrytycznośćPodkomponent
CVE-2024-21455A-357616450
QC-CR#3839449 [ 2 ]
QC-CR#3875202 [ 2 ]		WysokaJądro
CVE-2024-38402A-364017423
QC-CR#3890158		WysokaJądro
CVE-2024-38405A-357615761
QC-CR#3754687		WysokaSieć bezprzewodowa
CVE-2024-38415A-357616194
QC-CR#3775520 [ 2 ]		WysokaKamera
CVE-2024-38421A-357616018
QC-CR#3793941		WysokaWyświetlacz
CVE-2024-38422A-357616000
QC-CR#3794268 [ 2 ] [ 3 ]		WysokaAudio
CVE-2024-38423A-357615775
QC-CR#3799033		WysokaWyświetlacz
CVE-2024-43047A-364017103
QC-CR#3883647		WysokaJądro

Zamknięte komponenty Qualcomm

Te luki dotyczą komponentów Qualcomm o zamkniętym kodzie źródłowym i są opisane bardziej szczegółowo w odpowiednim biuletynie bezpieczeństwa Qualcomm lub alercie bezpieczeństwa. Ocenę powagi tych problemów zapewnia bezpośrednio Qualcomm.

CVEOdniesieniaKrytycznośćPodkomponent
CVE-2024-38408Numer A-357615875 *KrytycznyKomponent o zamkniętym kodzie źródłowym
CVE-2024-23385Numer A-339043003 *WysokaKomponent o zamkniętym kodzie źródłowym
CVE-2024-38403Numer A-357615948 *WysokaKomponent o zamkniętym kodzie źródłowym
CVE-2024-38424Numer A-357616230 *WysokaKomponent o zamkniętym kodzie źródłowym