Opublikowano 1 kwietnia 2019 r. | Zaktualizowano 3 kwietnia 2019 r.
Biuletyn o bezpieczeństwie Androida zawiera szczegółowe informacje o lukach w zabezpieczeniach, które wpływają na urządzenia z Androidem. Poziomy poprawek zabezpieczeń z 5 kwietnia 2019 r. lub nowsze rozwiązują wszystkie te problemy. Aby dowiedzieć się, jak sprawdzić poziom poprawek zabezpieczeń urządzenia, przeczytaj artykuł Sprawdzanie i aktualizowanie wersji Androida.
Partnerzy Androida są powiadamiani o wszystkich problemach co najmniej miesiąc przed publikacją. Poprawki kodu źródłowego dotyczące tych problemów zostały opublikowane w repozytorium Projektu Android Open Source (AOSP) i link do niego znajduje się w tym biuletynie. Ten biuletyn zawiera też linki do poprawek poza AOSP.
Najpoważniejszym z tych problemów jest krytyczna luka w zabezpieczeniach w ramach frameworku multimediów, która umożliwia atakującemu zdalnie uruchomienie dowolnego kodu w ramach procesu uprzywilejowanego za pomocą specjalnie spreparowanego pliku. Ocena dotkliwości jest oparta na potencjalnym wpływie wykorzystania luki w zabezpieczeniach na urządzeniu, przy założeniu, że zabezpieczenia platformy i usługi są wyłączone na potrzeby programistyki lub że zostały pomyślnie omijane.
Nie otrzymaliśmy żadnych zgłoszeń o aktywnej eksploatacji klientów ani o wykorzystaniu tych nowo zgłoszonych problemów. Więcej informacji o środkach zaradczych Androida i Google Play Protect znajdziesz w sekcji dotyczącej zabezpieczeń platformy Android i Google Play Protect, które zwiększają bezpieczeństwo platformy Android.
Uwaga: informacje o najnowszej aktualizacji bezprzewodowej (OTA) i obrazu oprogramowania urządzenia Google znajdziesz w komunikatach o aktualizacjach Pixela z kwietnia 2019 roku.
Środki zaradcze dotyczące usług Google i Androida
Oto podsumowanie środków zapobiegawczych oferowanych przez platformę zabezpieczeń Androida oraz zabezpieczenia usług, takie jak Google Play Protect. Te funkcje zmniejszają prawdopodobieństwo, że luki w zabezpieczeniach mogą zostać wykorzystane na urządzeniach z Androidem.
- Wykorzystanie wielu luk w Androidzie jest utrudnione dzięki ulepszeniom w nowszych wersjach platformy. Zachęcamy wszystkich użytkowników do zaktualizowania Androida do najnowszej wersji, o ile to możliwe.
- Zespół ds. bezpieczeństwa Androida aktywnie monitoruje przypadki nadużyć za pomocą Google Play Protect i ostrzega użytkowników o potencjalnie szkodliwych aplikacjach. Google Play Protect jest domyślnie włączona na urządzeniach z Usługami mobilnymi Google. Jest szczególnie ważna dla użytkowników, którzy instalują aplikacje spoza Google Play.
Szczegóły dotyczące luki w zabezpieczeniach na poziomie aktualizacji zabezpieczeń z 01.04.2019
W sekcjach poniżej znajdziesz szczegółowe informacje o każdej z luk w zabezpieczeniach, które dotyczą poziomu poprawek z 2019-04-01. Luki są grupowane według komponentu, którego dotyczą. Zawiera on opis problemu oraz tabelę z luką w zabezpieczeniach CVE, powiązanymi odniesieniami, typem luki, wagą oraz zaktualizowanymi wersjami AOSP (w stosownych przypadkach). W razie możliwości łączymy publiczną zmianę, która rozwiązała problem, z identyfikatorem błędu, np. z listą zmian w AOSP. Jeśli wiele zmian dotyczy jednego błędu, dodatkowe odniesienia są połączone z numerami po identyfikatorze błędu.
Platforma
Użytkownik lokalny może wykorzystać podatność opisaną w tej sekcji, aby uzyskać dodatkowe uprawnienia z użyciem interakcji z użytkownikiem.
| CVE | Pliki referencyjne | Typ | Poziom | Zaktualizowane wersje AOSP |
|---|---|---|---|---|
| CVE-2019-2026 | A-120866126* | EoP | Wysoki | z Androidem 8.0 |
Platforma mediów
Najpoważniejsza luka w zabezpieczeniach w tej sekcji może umożliwić atakującemu zdalnie użycie specjalnie spreparowanego pliku do uruchomienia dowolnego kodu w kontekście uprzywilejowanego procesu.
| CVE | Pliki referencyjne | Typ | Poziom | Zaktualizowane wersje AOSP |
|---|---|---|---|---|
| CVE-2019-2027 | A-119120561 | RCE | Krytyczny | 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9 |
| CVE-2019-2028 | A-120644655 | RCE | Krytyczny | 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9 |
System
Najpoważniejsza luka w zabezpieczeniach w tej sekcji może umożliwić lokalnej złośliwej aplikacji uruchomienie dowolnego kodu w kontekście procesu uprzywilowanego.
| CVE | Pliki referencyjne | Typ | Poziom | Zaktualizowane wersje AOSP |
|---|---|---|---|---|
| CVE-2019-2030 | A-119496789 | EoP | Wysoki | 9 |
| CVE-2019-2031 | A-120502559 | EoP | Wysoki | 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9 |
| CVE-2019-2033 | A-121327565 [2] | EoP | Wysoki | 9 |
| CVE-2019-2034 | A-122035770 | EoP | Wysoki | 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9 |
| CVE-2019-2035 | A-122320256 | EoP | Wysoki | 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9 |
| CVE-2019-2038 | A-121259048 | ID | Wysoki | 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9 |
| CVE-2019-2039 | A-121260197 | ID | Wysoki | 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9 |
| CVE-2019-2040 | A-122316913 | ID | Wysoki | 9 |
Szczegóły dotyczące luki w zabezpieczeniach na poziomie poprawki zabezpieczeń z 2019-04-05
W sekcjach poniżej znajdziesz szczegółowe informacje o każdej z luk w zabezpieczeniach, które dotyczą poziomu poprawek z 05.04.2019. Luki w zabezpieczeniach są grupowane według komponentu, którego dotyczą. Zawierają takie informacje jak CVE, powiązane odniesienia, typ luki, powagę, komponent (w stosownych przypadkach) i zaktualizowane wersje AOSP (w stosownych przypadkach). Jeśli to możliwe, łączymy publiczną zmianę, która rozwiązała problem, z identyfikatorem błędu, na przykład z listą zmian w AOSP. Jeśli wiele zmian dotyczy jednego błędu, dodatkowe odniesienia są połączone z numerami po identyfikatorze błędu.
System
Najpoważniejsza luka w zabezpieczeniach w tej sekcji może umożliwić atakującemu zdalnie użycie specjalnie spreparowanego pliku do uruchomienia dowolnego kodu w kontekście procesu uprzywilejowanego.
| CVE | Pliki referencyjne | Typ | Poziom | Zaktualizowane wersje AOSP |
|---|---|---|---|---|
| CVE-2019-2029 | A-120612744 | RCE | Krytyczny | 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9 |
| CVE-2019-2032 | A-121145627 | EoP | Wysoki | 8.0, 8.1, 9 |
| CVE-2019-2041 | A-122034690 [2] [3] | EoP | Wysoki | 8.1, 9 |
| CVE-2019-2037 | A-119870451 | ID | Wysoki | 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9 |
Komponenty Qualcomm
Te luki w zabezpieczeniach dotyczą komponentów Qualcomm i są opisane w szczegółach w odpowiednim biuletynie lub alertu bezpieczeństwa Qualcomm. Większość tych poprawek można znaleźć w komunikatach dotyczących zabezpieczeń Qualcomm opublikowanych w 2018 roku. Ocena stopnia ważności tych problemów jest dostarczana bezpośrednio przez firmę Qualcomm.
| CVE | Pliki referencyjne | Typ | Poziom | Komponent |
|---|---|---|---|---|
| CVE-2018-11940 | A-79377832 QC-CR#2254946 |
Nie dotyczy | Krytyczny | WLAN HOST |
| CVE-2017-17772 | A-72957385 QC-CR#2153003 [2] |
Nie dotyczy | Wysoki | WLAN HOST |
| CVE-2018-11294 | A-109741680 QC-CR#2197481 |
Nie dotyczy | Wysoki | WLAN HOST |
| CVE-2018-5855 | A-77527719 QC-CR#2193421 |
Nie dotyczy | Wysoki | WLAN HOST |
| CVE-2018-11299 | A-109741946 QC-CR#2186953 |
Nie dotyczy | Wysoki | WLAN HOST |
| CVE-2018-11826 | A-111127853 QC-CR#2205957 |
Nie dotyczy | Wysoki | WLAN HOST |
| CVE-2018-11827 | A-111128575 QC-CR#2206569 |
Nie dotyczy | Wysoki | WLAN HOST |
| CVE-2018-11840 | A-111126050 QC-CR#2215443 |
Nie dotyczy | Wysoki | WLAN HOST |
| CVE-2018-11851 | A-111125792 QC-CR#2221902 |
Nie dotyczy | Wysoki | WLAN HOST |
| CVE-2018-11860 | A-111128301 QC-CR#2225113 |
Nie dotyczy | Wysoki | WLAN HOST |
| CVE-2018-11868 | A-111128420 QC-CR#2227248 |
Nie dotyczy | Wysoki | WLAN HOST |
| CVE-2018-11869 | A-111128838 QC-CR#2227263 |
Nie dotyczy | Wysoki | WLAN HOST |
| CVE-2018-11878 | A-111128797 QC-CR#2228608 |
Nie dotyczy | Wysoki | WLAN HOST |
| CVE-2018-11889 | A-111128421 QC-CR#2230998 |
Nie dotyczy | Wysoki | WLAN HOST |
| CVE-2018-11891 | A-111128578 QC-CR#2231767 |
Nie dotyczy | Wysoki | WLAN HOST |
| CVE-2018-11894 | A-111127989 QC-CR#2232358 |
Nie dotyczy | Wysoki | WLAN HOST |
| CVE-2018-11895 | A-111128877 QC-CR#2232542 |
Nie dotyczy | Wysoki | WLAN HOST |
| CVE-2018-11897 | A-111128841 QC-CR#2233033 |
Nie dotyczy | Wysoki | WLAN HOST |
| CVE-2018-11902 | A-111126532 QC-CR#2225604 |
Nie dotyczy | Wysoki | WLAN HOST |
| CVE-2018-11904 | A-111125111 QC-CR#2215446 |
Nie dotyczy | Wysoki | WLAN HOST |
| CVE-2018-11905 | A-112277221 QC-CR#2146878 |
Nie dotyczy | Wysoki | WLAN HOST |
| CVE-2018-11923 | A-112276863 QC-CR#2224443 |
Nie dotyczy | Wysoki | WLAN HOST |
| CVE-2018-11924 | A-112278150 QC-CR#2224451 |
Nie dotyczy | Wysoki | WLAN HOST |
| CVE-2018-11925 | A-112277910 QC-CR#2226375 [2] |
Nie dotyczy | Wysoki | WLAN HOST |
| CVE-2018-11927 | A-112277186 QC-CR#2227076 |
Nie dotyczy | Wysoki | WLAN HOST |
| CVE-2018-11930 | A-112278861 QC-CR#2231770 |
Nie dotyczy | Wysoki | WLAN HOST |
| CVE-2018-11937 | A-112277891 QC-CR#2245944 |
Nie dotyczy | Wysoki | WLAN HOST |
| CVE-2018-11949 | A-112278405 QC-CR#2249815 |
Nie dotyczy | Wysoki | WLAN HOST |
| CVE-2018-11953 | A-112277852 QC-CR#2235576 |
Nie dotyczy | Wysoki | WLAN HOST |
| CVE-2018-13920 | A-120487136* QC-CR#2293841 |
Nie dotyczy | Wysoki | Bąbelki |
Komponenty Qualcomm o zamkniętym kodzie źródłowym
Te luki w zabezpieczeniach dotyczą komponentów Qualcomm i są opisane w szczegółach w odpowiednim biuletynie lub alertu bezpieczeństwa Qualcomm. Ocena stopnia ważności tych problemów jest dostarczana bezpośrednio przez firmę Qualcomm.
| CVE | Pliki referencyjne | Typ | Poziom | Komponent |
|---|---|---|---|---|
| CVE-2018-11271 | A-120487384* | Nie dotyczy | Krytyczny | Komponent zamkniętego źródła |
| CVE-2018-11976 | A-117119000* | Nie dotyczy | Krytyczny | Komponent zamkniętego źródła |
| CVE-2018-12004 | A-117118976* | Nie dotyczy | Krytyczny | Komponent zamkniętego źródła |
| CVE-2018-13886 | A-117118295* | Nie dotyczy | Krytyczny | Komponent zamkniętego źródła |
| CVE-2018-13887 | A-117119172* | Nie dotyczy | Krytyczny | Komponent zamkniętego źródła |
| CVE-2019-2250 | A-122473270* | Nie dotyczy | Krytyczny | Komponent zamkniętego źródła |
| CVE-2018-11291 | A-109678120* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2018-11821 | A-111093019* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2018-11822 | A-111092813* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2018-11828 | A-111089816* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2018-11849 | A-111092945* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2018-11850 | A-111092919* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2018-11853 | A-111091938* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2018-11854 | A-111093762* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2018-11856 | A-111093242* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2018-11859 | A-111090373* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2018-11861 | A-111092814* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2018-11862 | A-111093763* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2018-11867 | A-111093243* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2018-11870 | A-111089817* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2018-11871 | A-111092400* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2018-11872 | A-111090534* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2018-11873 | A-111091378* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2018-11874 | A-111092946* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2018-11875 | A-111093022* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2018-11876 | A-111093244* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2018-11877 | A-111092888* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2018-11879 | A-111093280* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2018-11880 | A-111092401* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2018-11882 | A-111093259* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2018-11884 | A-111090535* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2018-11928 | A-112279580* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2018-11936 | A-112279127* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2018-11967 | A-119049704* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2018-11967 | A-119052960* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2018-11968 | A-114042276* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2018-12005 | A-117118499* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2018-12012 | A-117119174* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2018-12013 | A-117119152* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2018-13885 | A-117118789* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2018-13895 | A-122472377* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2018-13925 | A-120483842* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2019-2244 | A-122472139* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
| CVE-2019-2245 | A-122473145* | Nie dotyczy | Wysoki | Komponent zamkniętego źródła |
Najczęstsze pytania i odpowiedzi
W tej sekcji znajdziesz odpowiedzi na najczęstsze pytania, które mogą pojawić się po przeczytaniu tego biuletynu.
1. Jak sprawdzić, czy moje urządzenie jest zaktualizowane i czy zawiera poprawki dotyczące tych problemów?
Aby dowiedzieć się, jak sprawdzić poziom poprawek zabezpieczeń urządzenia, przeczytaj artykuł Sprawdzanie i aktualizowanie wersji Androida.
- Poziomy aktualizacji zabezpieczeń z 2019-04-01 lub nowsze rozwiązują wszystkie problemy związane z poziomem aktualizacji zabezpieczeń z 2019-04-01.
- Poziomy aktualizacji zabezpieczeń z 5 kwietnia 2019 r. lub nowsze rozwiązują wszystkie problemy związane z poziomem aktualizacji zabezpieczeń z 5 kwietnia 2019 r. i wszystkimi poprzednimi poziomami.
Producenci urządzeń, którzy udostępniają te aktualizacje, powinni ustawić poziom ciągu poprawek na:
- [ro.build.version.security_patch]:[2019-04-01]
- [ro.build.version.security_patch]:[2019-04-05]
2. Dlaczego w tym komunikacie są 2 poziomy aktualizacji zabezpieczeń?
W tym komunikacie znajdują się 2 poziomy poprawek zabezpieczeń, dzięki którym partnerzy Androida mają możliwość szybszego naprawiania podzbioru podobnych luk we wszystkich urządzeniach z Androidem. Partnerów Androida zachęcamy do rozwiązania wszystkich problemów opisanych w tym biuletynie i do stosowania najnowszej poprawki zabezpieczeń.
- Urządzenia korzystające z poziomu zabezpieczeń z 1 kwietnia 2019 r. muszą zawierać wszystkie problemy związane z tym poziomem zabezpieczeń, a także poprawki wszystkich problemów zgłoszonych w poprzednich biuletynach bezpieczeństwa.
- Urządzenia, które korzystają z poziomu poprawki zabezpieczeń z 5 kwietnia 2019 r. lub nowszego, muszą zawierać wszystkie poprawki z tego (i poprzednich) komunikatu(-ów) o bezpieczeństwie.
Zachęcamy partnerów do łączenia poprawek dla wszystkich problemów, które rozwiązują, w jednym pakiecie aktualizacji.
3. Co oznaczają wpisy w kolumnie Typ?
Wpisy w kolumnie Typ w tabeli szczegółów podatności odnoszą się do klasyfikacji podatności na zagrożenia.
| Skrót | Definicja |
|---|---|
| RCE | Zdalne wykonywanie kodu |
| EoP | Podniesienie uprawnień |
| ID | Ujawnianie informacji |
| DoS | Atak typu DoS |
| Nie dotyczy | Klasyfikacja niedostępna |
4. Co oznaczają wpisy w kolumnie Odniesienia?
Wpisy w kolumnie Odniesienia w tabeli szczegółów podatności mogą zawierać prefiks identyfikujący organizację, do której należy wartość odniesienia.
| Prefiks | Źródła wiedzy |
|---|---|
| A- | Identyfikator błędu na Androidzie |
| QC- | Numer referencyjny Qualcomm |
| M- | Numer referencyjny MediaTek |
| N- | Numer referencyjny NVIDIA |
| B- | Numer referencyjny Broadcom |
5. Co oznacza znak * obok identyfikatora błędu Androida w kolumnie Odniesienia?
Problemy, które nie są dostępne publicznie, mają * obok identyfikatora błędu Androida w kolumnie Odniesienia. Aktualizacja dotycząca tego problemu jest zwykle zawarta w najnowszych binarnych sterownikach urządzeń Pixel, które można pobrać na stronie dla deweloperów Google.
6. Dlaczego luki w zabezpieczeniach są podzielone między ten biuletyn a biuletyny o zabezpieczeniach dotyczące urządzenia i partnera, takie jak biuletyn o Pixelu?
Aby zadeklarować najnowszy poziom poprawek zabezpieczeń na urządzeniach z Androidem, należy uwzględnić luki w zabezpieczeniach opisane w tym biuletynie. Dodatkowe luki w zabezpieczeniach, które są udokumentowane w biuletynach bezpieczeństwa partnera dotyczących urządzenia / , nie są wymagane do zadeklarowania poziomu aktualizacji zabezpieczeń. Producentów urządzeń z Androidem i producentów chipsetów zachęcamy do dokumentowania obecności innych poprawek na swoich urządzeniach na własnych stronach internetowych poświęconych bezpieczeństwu, takich jak biuletyny bezpieczeństwa Samsung, LGE czy Pixel.
Wersje
| Wersja | Data | Uwagi |
|---|---|---|
| 1,0 | 1 kwietnia 2019 r. | Biuletyn opublikowany |
| 1,1 | 3 kwietnia 2019 r. | Wprowadziliśmy zmiany w powiadomieniu, aby zawierało linki do AOSP |