Бюллетень по безопасности Android – апрель 2019 г.

Опубликован 1 апреля 2019 г. | Обновлен 3 апреля 2019 г.

В этом бюллетене содержится информация об уязвимостях в защите устройств Android. Все проблемы, перечисленные здесь, устранены в исправлении от 5 апреля 2019 года или более новом. Подробнее о том, как проверить версию системы безопасности на своем устройстве

Мы сообщаем партнерам обо всех проблемах по крайней мере за месяц до выхода бюллетеня. Исправления уязвимостей доступны в хранилище Android Open Source Project (AOSP). В бюллетене также приведены ссылки на исправления вне AOSP.

Самая серьезная из проблем – критическая уязвимость в Media Framework, которая позволяет злоумышленнику удаленно выполнять произвольный код в контексте привилегированного процесса с помощью специально созданного файла. Уровень серьезности зависит от того, какой ущерб будет нанесен устройству при атаке с использованием уязвимости, если злоумышленнику удастся обойти средства защиты или их отключит разработчик.

У нас нет информации о недобросовестном использовании обнаруженных уязвимостей. Сведения о том, как платформа безопасности Android и Google Play Защита помогают снизить вероятность успешного применения уязвимостей Android, можно найти в разделе Предотвращение атак.

Примечание. Информация о последних беспроводных обновлениях (OTA) и образах встроенного ПО для устройств Google содержится в бюллетене по обновлениям Pixel  за апрель 2019 года.

Предотвращение атак

Здесь описано, как платформа безопасности Android и средства защиты сервисов, например Google Play Защита, позволяют снизить вероятность успешного использования уязвимостей Android.

  • В новых версиях Android сложнее использовать многие уязвимости, поэтому мы рекомендуем всем своевременно обновлять систему.
  • Команда, отвечающая за безопасность Android, активно отслеживает злоупотребления с помощью Google Play Защиты и предупреждает пользователей об установке потенциально опасных приложений. Google Play Защита по умолчанию включена на телефонах и планшетах, использующих сервисы Google для мобильных устройств. Она особенно важна для тех, кто устанавливает приложения не из Google Play.

Описание уязвимостей (обновление системы безопасности 2019-04-01)

В этом разделе вы найдете подробную информацию обо всех уязвимостях, устраненных в обновлении системы безопасности 2019-04-01. Проблемы сгруппированы по компонентам, которые они затрагивают. Для каждого случая приведены описание и таблица, где указаны CVE, ссылки, тип уязвимости, уровень серьезности и, если применимо, версии AOSP. Где возможно, мы добавляем к идентификатору ошибки ссылку на опубликованное изменение (например, список AOSP). Если таких изменений несколько, дополнительные ссылки указываются в квадратных скобках.

Framework

Описанная ниже уязвимость позволяет злоумышленнику, в руки которого попало устройство, обойти требования к взаимодействию с пользователем и получить доступ к дополнительным разрешениям.

CVE Ссылки Тип Уровень серьезности Обновленные версии AOSP
CVE-2019-2026 A-120866126* EoP Высокий 8.0

Media Framework

Самая серьезная уязвимость позволяет злоумышленнику выполнять произвольный код в контексте привилегированного процесса с помощью специально созданного файла.

CVE Ссылки Тип Уровень серьезности Обновленные версии AOSP
CVE-2019-2027 A-119120561 RCE Критический 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9
CVE-2019-2028 A-120644655 RCE Критический 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9

Система

Самая серьезная уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте привилегированного процесса.

CVE Ссылки Тип Уровень серьезности Обновленные версии AOSP
CVE-2019-2030 A-119496789 EoP Высокий 9
CVE-2019-2031 A-120502559 EoP Высокий 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9
CVE-2019-2033 A-121327565 [2] EoP Высокий 9
CVE-2019-2034 A-122035770 EoP Высокий 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9
CVE-2019-2035 A-122320256 EoP Высокий 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9
CVE-2019-2038 A-121259048 ID Высокий 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9
CVE-2019-2039 A-121260197 ID Высокий 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9
CVE-2019-2040 A-122316913 ID Высокий 9

Описание уязвимостей (обновление системы безопасности 2019-04-05)

В этом разделе вы найдете подробную информацию обо всех уязвимостях, устраненных в исправлении от 5 апреля 2019 года. Проблемы сгруппированы по компонентам, которые они затрагивают. Для каждого случая приведена таблица, в которой указаны CVE, ссылки, тип уязвимости, уровень серьезности, а также, если применимо, компонент и версии AOSP. Где возможно, мы добавляем к идентификатору ошибки ссылку на опубликованное изменение (например, список AOSP). Если таких изменений несколько, дополнительные ссылки указываются в квадратных скобках.

Система

Самая серьезная уязвимость позволяет злоумышленнику удаленно выполнять произвольный код в контексте привилегированного процесса с помощью специально созданного файла.

CVE Ссылки Тип Уровень серьезности Обновленные версии AOSP
CVE-2019-2029 A-120612744 RCE Критический 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9
CVE-2019-2032 A-121145627 EoP Высокий 8.0, 8.1, 9
CVE-2019-2041 A-122034690 [2] [3] EoP Высокий 8.1, 9
CVE-2019-2037 A-119870451 ID Высокий 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9

Компоненты Qualcomm

Указанные ниже уязвимости затрагивают компоненты Qualcomm и подробно описаны в бюллетенях по безопасности Qualcomm или оповещениях системы безопасности. Большую часть исправлений для этих проблем можно найти в бюллетенях по безопасности Qualcomm за 2018 год. Уровень серьезности определяется непосредственно компанией Qualcomm.

CVE Ссылки Тип Уровень серьезности Компонент
CVE-2018-11940 A-79377832
QC-CR#2254946
Н/Д Критический Хост WLAN
CVE-2017-17772 A-72957385
QC-CR#2153003 [2]
Н/Д Высокий Хост WLAN
CVE-2018-11294 A-109741680
QC-CR#2197481
Н/Д Высокий Хост WLAN
CVE-2018-5855 A-77527719
QC-CR#2193421
Н/Д Высокий Хост WLAN
CVE-2018-11299 A-109741946
QC-CR#2186953
Н/Д Высокий Хост WLAN
CVE-2018-11826 A-111127853
QC-CR#2205957
Н/Д Высокий Хост WLAN
CVE-2018-11827 A-111128575
QC-CR#2206569
Н/Д Высокий Хост WLAN
CVE-2018-11840 A-111126050
QC-CR#2215443
Н/Д Высокий Хост WLAN
CVE-2018-11851 A-111125792
QC-CR#2221902
Н/Д Высокий Хост WLAN
CVE-2018-11860 A-111128301
QC-CR#2225113
Н/Д Высокий Хост WLAN
CVE-2018-11868 A-111128420
QC-CR#2227248
Н/Д Высокий Хост WLAN
CVE-2018-11869 A-111128838
QC-CR#2227263
Н/Д Высокий Хост WLAN
CVE-2018-11878 A-111128797
QC-CR#2228608
Н/Д Высокий Хост WLAN
CVE-2018-11889 A-111128421
QC-CR#2230998
Н/Д Высокий Хост WLAN
CVE-2018-11891 A-111128578
QC-CR#2231767
Н/Д Высокий Хост WLAN
CVE-2018-11894 A-111127989
QC-CR#2232358
Н/Д Высокий Хост WLAN
CVE-2018-11895 A-111128877
QC-CR#2232542
Н/Д Высокий Хост WLAN
CVE-2018-11897 A-111128841
QC-CR#2233033
Н/Д Высокий Хост WLAN
CVE-2018-11902 A-111126532
QC-CR#2225604
Н/Д Высокий Хост WLAN
CVE-2018-11904 A-111125111
QC-CR#2215446
Н/Д Высокий Хост WLAN
CVE-2018-11905 A-112277221
QC-CR#2146878
Н/Д Высокий Хост WLAN
CVE-2018-11923 A-112276863
QC-CR#2224443
Н/Д Высокий Хост WLAN
CVE-2018-11924 A-112278150
QC-CR#2224451
Н/Д Высокий Хост WLAN
CVE-2018-11925 A-112277910
QC-CR#2226375 [2]
Н/Д Высокий Хост WLAN
CVE-2018-11927 A-112277186
QC-CR#2227076
Н/Д Высокий Хост WLAN
CVE-2018-11930 A-112278861
QC-CR#2231770
Н/Д Высокий Хост WLAN
CVE-2018-11937 A-112277891
QC-CR#2245944
Н/Д Высокий Хост WLAN
CVE-2018-11949 A-112278405
QC-CR#2249815
Н/Д Высокий Хост WLAN
CVE-2018-11953 A-112277852
QC-CR#2235576
Н/Д Высокий Хост WLAN
CVE-2018-13920 A-120487136*
QC-CR#2293841
Н/Д Высокий Ядро

Компоненты Qualcomm с закрытым исходным кодом

Эти уязвимости затрагивают компоненты Qualcomm. Они описаны в бюллетенях по безопасности Qualcomm или оповещениях системы безопасности. Уровень серьезности этих проблем определяется непосредственно компанией Qualcomm.

CVE Ссылки Тип Уровень серьезности Компонент
CVE-2018-11271 A-120487384* Н/Д Критический Компонент с закрытым исходным кодом
CVE-2018-11976 A-117119000* Н/Д Критический Компонент с закрытым исходным кодом
CVE-2018-12004 A-117118976* Н/Д Критический Компонент с закрытым исходным кодом
CVE-2018-13886 A-117118295* Н/Д Критический Компонент с закрытым исходным кодом
CVE-2018-13887 A-117119172* Н/Д Критический Компонент с закрытым исходным кодом
CVE-2019-2250 A-122473270* Н/Д Критический Компонент с закрытым исходным кодом
CVE-2018-11291 A-109678120* Н/Д Высокий Компонент с закрытым исходным кодом
CVE-2018-11821 A-111093019* Н/Д Высокий Компонент с закрытым исходным кодом
CVE-2018-11822 A-111092813* Н/Д Высокий Компонент с закрытым исходным кодом
CVE-2018-11828 A-111089816* Н/Д Высокий Компонент с закрытым исходным кодом
CVE-2018-11849 A-111092945* Н/Д Высокий Компонент с закрытым исходным кодом
CVE-2018-11850 A-111092919* Н/Д Высокий Компонент с закрытым исходным кодом
CVE-2018-11853 A-111091938* Н/Д Высокий Компонент с закрытым исходным кодом
CVE-2018-11854 A-111093762* Н/Д Высокий Компонент с закрытым исходным кодом
CVE-2018-11856 A-111093242* Н/Д Высокий Компонент с закрытым исходным кодом
CVE-2018-11859 A-111090373* Н/Д Высокий Компонент с закрытым исходным кодом
CVE-2018-11861 A-111092814* Н/Д Высокий Компонент с закрытым исходным кодом
CVE-2018-11862 A-111093763* Н/Д Высокий Компонент с закрытым исходным кодом
CVE-2018-11867 A-111093243* Н/Д Высокий Компонент с закрытым исходным кодом
CVE-2018-11870 A-111089817* Н/Д Высокий Компонент с закрытым исходным кодом
CVE-2018-11871 A-111092400* Н/Д Высокий Компонент с закрытым исходным кодом
CVE-2018-11872 A-111090534* Н/Д Высокий Компонент с закрытым исходным кодом
CVE-2018-11873 A-111091378* Н/Д Высокий Компонент с закрытым исходным кодом
CVE-2018-11874 A-111092946* Н/Д Высокий Компонент с закрытым исходным кодом
CVE-2018-11875 A-111093022* Н/Д Высокий Компонент с закрытым исходным кодом
CVE-2018-11876 A-111093244* Н/Д Высокий Компонент с закрытым исходным кодом
CVE-2018-11877 A-111092888* Н/Д Высокий Компонент с закрытым исходным кодом
CVE-2018-11879 A-111093280* Н/Д Высокий Компонент с закрытым исходным кодом
CVE-2018-11880 A-111092401* Н/Д Высокий Компонент с закрытым исходным кодом
CVE-2018-11882 A-111093259* Н/Д Высокий Компонент с закрытым исходным кодом
CVE-2018-11884 A-111090535* Н/Д Высокий Компонент с закрытым исходным кодом
CVE-2018-11928 A-112279580* Н/Д Высокий Компонент с закрытым исходным кодом
CVE-2018-11936 A-112279127* Н/Д Высокий Компонент с закрытым исходным кодом
CVE-2018-11967 A-119049704* Н/Д Высокий Компонент с закрытым исходным кодом
CVE-2018-11967 A-119052960* Н/Д Высокий Компонент с закрытым исходным кодом
CVE-2018-11968 A-114042276* Н/Д Высокий Компонент с закрытым исходным кодом
CVE-2018-12005 A-117118499* Н/Д Высокий Компонент с закрытым исходным кодом
CVE-2018-12012 A-117119174* Н/Д Высокий Компонент с закрытым исходным кодом
CVE-2018-12013 A-117119152* Н/Д Высокий Компонент с закрытым исходным кодом
CVE-2018-13885 A-117118789* Н/Д Высокий Компонент с закрытым исходным кодом
CVE-2018-13895 A-122472377* Н/Д Высокий Компонент с закрытым исходным кодом
CVE-2018-13925 A-120483842* Н/Д Высокий Компонент с закрытым исходным кодом
CVE-2019-2244 A-122472139* Н/Д Высокий Компонент с закрытым исходным кодом
CVE-2019-2245 A-122473145* Н/Д Высокий Компонент с закрытым исходным кодом

Часто задаваемые вопросы

В этом разделе мы отвечаем на вопросы, которые могут возникнуть после прочтения бюллетеня.

1. Как определить, установлено ли на устройство обновление, в котором устранены перечисленные проблемы?

Подробнее о том, как проверить версию системы безопасности на своем устройстве

  • В исправлении от 1 апреля 2019 года или более новом устранены все проблемы, связанные с обновлением 2019-04-01.
  • В исправлении от 5 апреля 2019 года или более новом устранены все проблемы, связанные с обновлением 2019-04-05 и предыдущими обновлениями.

Производители устройств, позволяющие установить эти обновления, должны присвоить им один из следующих уровней:

  • [ro.build.version.security_patch]:[2019-04-01]
  • [ro.build.version.security_patch]:[2019-04-05]

2. Почему в этом бюллетене говорится о двух исправлениях для системы безопасности?

Мы включили в этот бюллетень сведения о двух исправлениях, чтобы помочь нашим партнерам как можно скорее устранить уязвимости, затрагивающие все устройства Android. Рекомендуем партнерам Android исправить все вышеперечисленные проблемы и установить последнее обновление системы безопасности.

  • На устройствах с установленным обновлением 2019-04-01 должны быть исправлены все охваченные им проблемы, упомянутые в этом бюллетене и предыдущих выпусках.
  • На устройствах с установленным обновлением 2019-04-05 или более поздним должны быть исправлены все проблемы, упомянутые в этом бюллетене и предыдущих выпусках.

Рекомендуем партнерам собрать все исправления проблем в одно обновление.

3. Что означают сокращения в столбце Тип?

В этом столбце указан тип уязвимости по следующей классификации:

Сокращение Описание
RCE Удаленное выполнение кода (Remote code execution)
EoP Повышение привилегий (Elevation of privilege)
ID Раскрытие информации (Information disclosure)
DoS Отказ в обслуживании (Denial of service)
Н/Д Классификация недоступна

4. Что означает информация в столбце Ссылки?

В таблицах с описанием уязвимостей есть столбец Ссылки. Каждая запись в нем может содержать префикс, указывающий на источник ссылки, а именно:

Префикс Значение
A- Идентификатор ошибки Android
QC- Ссылочный номер Qualcomm
M- Ссылочный номер MediaTek
N- Ссылочный номер NVIDIA
B- Ссылочный номер Broadcom

5. Что означает символ * рядом с идентификатором ошибки Android в столбце Ссылки?

Символ * означает, что исправление для уязвимости не опубликовано. Необходимое обновление обычно содержится в последних исполняемых файлах драйверов для устройств Pixel, которые можно скачать на сайте Google Developers.

6. Почему теперь одни уязвимости описываются в этих бюллетенях, а другие – в бюллетенях по безопасности Pixel , а также в остальных бюллетенях партнеров?

В этом бюллетене описаны уязвимости, устранить которые необходимо для соответствия последнему уровню исправления Android. Решать дополнительные проблемы, перечисленные в бюллетенях по безопасности партнеров, для этого не потребовалось. Мы рекомендуем производителям чипсетов и устройств Android рассказывать об исправлениях для своих устройств в бюллетенях по безопасности на собственных сайтах. Примеры: бюллетени для Samsung, LG и Pixel.

Версии

Версия Дата Примечания
1.0 1 апреля 2019 г. Бюллетень опубликован.
1.1 3 апреля 2019 г. Добавлены ссылки на AOSP.