بولتن امنیتی اندروید - ژوئن 2024

بولتن امنیتی Wear OS حاوی جزئیاتی از آسیب‌پذیری‌های امنیتی مؤثر بر پلتفرم Wear OS است. به‌روزرسانی کامل Wear OS علاوه بر تمام مشکلات موجود در این بولتن، شامل سطح وصله امنیتی 2024-06-05 یا بالاتر از بولتن امنیتی اندروید ژوئن 2024 نیز می‌شود.

ما همه مشتریان را تشویق می‌کنیم که این به‌روزرسانی‌ها را در دستگاه‌های خود بپذیرند.

شدیدترین این مشکلات، یک آسیب‌پذیری امنیتی بالا در مؤلفه‌ی Framework است که می‌تواند منجر به افزایش سطح دسترسی محلی بدون نیاز به مجوزهای اجرایی اضافی شود. ارزیابی شدت بر اساس تأثیری است که سوءاستفاده از این آسیب‌پذیری می‌تواند بر روی دستگاه آسیب‌دیده داشته باشد، با فرض اینکه اقدامات کاهش آسیب‌پذیری پلتفرم و سرویس برای اهداف توسعه غیرفعال شده باشند یا با موفقیت دور زده شوند.

اطلاعیه‌ها

• علاوه بر آسیب‌پذیری‌های امنیتی شرح داده شده در بولتن امنیتی اندروید ژوئن ۲۰۲۴، بولتن امنیتی Wear OS ژوئن ۲۰۲۴ همچنین شامل وصله‌هایی مخصوص آسیب‌پذیری‌های Wear OS است که در زیر شرح داده شده است.

جزئیات آسیب‌پذیری سطح وصله امنیتی 2024-06-01

در بخش‌های زیر، جزئیات مربوط به هر یک از آسیب‌پذیری‌های امنیتی که در سطح وصله 2024-06-01 اعمال می‌شوند را ارائه می‌دهیم. آسیب‌پذیری‌ها بر اساس مؤلفه‌ای که تحت تأثیر قرار می‌دهند، گروه‌بندی شده‌اند. مشکلات در جداول زیر شرح داده شده‌اند و شامل شناسه CVE، منابع مرتبط، نوع آسیب‌پذیری ، شدت و نسخه‌های به‌روزرسانی‌شده AOSP (در صورت وجود) می‌شوند. در صورت وجود، تغییر عمومی که به مشکل پرداخته است را به شناسه اشکال، مانند فهرست تغییرات AOSP، پیوند می‌دهیم. هنگامی که چندین تغییر مربوط به یک اشکال واحد باشد، ارجاعات اضافی به اعداد بعد از شناسه اشکال پیوند داده می‌شوند. دستگاه‌های دارای اندروید 10 و بالاتر ممکن است به‌روزرسانی‌های امنیتی و همچنین به‌روزرسانی‌های سیستم Google Play را دریافت کنند.

سیستم

شدیدترین آسیب‌پذیری در این بخش می‌تواند منجر به افزایش سطح دسترسی محلی بدون نیاز به مجوزهای اجرایی اضافی شود.

سوالات و پاسخ‌های رایج

این بخش به سوالات متداولی که ممکن است پس از خواندن این بولتن برای شما پیش بیاید، پاسخ می‌دهد.

۱. چگونه می‌توانم تشخیص دهم که آیا دستگاه من برای رفع این مشکلات به‌روزرسانی شده است یا خیر؟

برای یادگیری نحوه بررسی سطح وصله امنیتی دستگاه، دستورالعمل‌های موجود در برنامه به‌روزرسانی دستگاه Google را مطالعه کنید.

• وصله‌های امنیتی سطح 2024-06-01 یا بالاتر، تمام مشکلات مرتبط با سطح وصله امنیتی 2024-06-01 را برطرف می‌کنند.

تولیدکنندگان دستگاه‌هایی که این به‌روزرسانی‌ها را ارائه می‌دهند، باید سطح رشته پچ را روی موارد زیر تنظیم کنند:

• [ro.build.version.security_patch]:[2024-06-01]

برای برخی از دستگاه‌های دارای اندروید ۱۰ یا بالاتر، به‌روزرسانی سیستم گوگل پلی دارای رشته تاریخی است که با سطح وصله امنیتی ۲۰۲۴-۰۶-۰۱ مطابقت دارد. لطفاً برای جزئیات بیشتر در مورد نحوه نصب به‌روزرسانی‌های امنیتی به این مقاله مراجعه کنید.

۲. منظور از ورودی‌های ستون Type چیست؟

ورودی‌های ستون نوع جدول جزئیات آسیب‌پذیری، طبقه‌بندی آسیب‌پذیری امنیتی را نشان می‌دهند.

۳. منظور از ورودی‌های ستون منابع چیست؟

ورودی‌های زیر ستون References در جدول جزئیات آسیب‌پذیری ممکن است حاوی پیشوندی باشند که سازمانی را که مقدار مرجع به آن تعلق دارد، مشخص می‌کند.

۴. علامت * در کنار شناسه اشکال اندروید در ستون منابع به چه معناست؟

مشکلاتی که به صورت عمومی در دسترس نیستند، علامت * در کنار شناسه مرجع مربوطه دارند. به‌روزرسانی مربوط به آن مشکل معمولاً در جدیدترین درایورهای باینری برای دستگاه‌های پیکسل موجود در سایت توسعه‌دهندگان گوگل موجود است.

۵. چرا آسیب‌پذیری‌های امنیتی بین این بولتن و بولتن‌های امنیتی دستگاه/شریک، مانند بولتن پیکسل، تقسیم شده‌اند؟

آسیب‌پذیری‌های امنیتی که در این بولتن امنیتی مستند شده‌اند، برای اعلام آخرین سطح وصله امنیتی در دستگاه‌های اندروید الزامی هستند. آسیب‌پذیری‌های امنیتی اضافی که در بولتن‌های امنیتی دستگاه/شریک مستند شده‌اند، برای اعلام سطح وصله امنیتی الزامی نیستند. تولیدکنندگان دستگاه‌ها و چیپست‌های اندروید نیز ممکن است جزئیات آسیب‌پذیری امنیتی خاص محصولات خود، مانند گوگل ، هواوی ، ال‌جی ، موتورولا ، نوکیا یا سامسونگ ، را منتشر کنند.

نسخه‌ها