Biuletyn dotyczący bezpieczeństwa Androida — sierpień 2019 r

Opublikowano 5 sierpnia 2019 | Zaktualizowano 12 sierpnia 2019 r

Biuletyn bezpieczeństwa systemu Android zawiera szczegółowe informacje na temat luk w zabezpieczeniach urządzeń z systemem Android. Poprawki zabezpieczeń z wersji 2019-08-05 lub nowszej rozwiązują wszystkie te problemy. Aby dowiedzieć się, jak sprawdzić poziom poprawek zabezpieczeń urządzenia, zobacz Sprawdzanie i aktualizowanie wersji Androida .

Partnerzy Androida są powiadamiani o wszystkich problemach co najmniej na miesiąc przed publikacją. Poprawki kodu źródłowego rozwiązujące te problemy zostały udostępnione w repozytorium Android Open Source Project (AOSP), a linki do nich znajdują się w tym biuletynie. Biuletyn ten zawiera także łącza do poprawek spoza AOSP.

Najpoważniejszym z tych problemów jest krytyczna luka w zabezpieczeniach składnika System, która może umożliwić osobie atakującej zdalnie, korzystając ze specjalnie spreparowanego pliku PAC, wykonanie dowolnego kodu w kontekście uprzywilejowanego procesu. Ocena ważności opiera się na możliwym wpływie wykorzystania luki na urządzenie, którego dotyczy luka, przy założeniu, że zabezpieczenia platformy i usług zostaną wyłączone na potrzeby programowania lub jeśli uda się je obejść.

Nie otrzymaliśmy żadnych raportów o aktywnym wykorzystywaniu klientów lub nadużyciach w związku z nowo zgłoszonymi problemami. Szczegółowe informacje na temat zabezpieczeń platformy zabezpieczeń Androida i Google Play Protect , które poprawiają bezpieczeństwo platformy Android , można znaleźć w sekcji Środki zaradcze dotyczące systemów Android i Google Play Protect.

Uwaga: informacje o najnowszych aktualizacjach OTA i obrazach oprogramowania sprzętowego urządzeń Google można znaleźć w biuletynie aktualizacji Pixel z sierpnia 2019 r .

Ograniczenia dotyczące usług Android i Google

To jest podsumowanie środków zaradczych zapewnianych przez platformę bezpieczeństwa Androida i zabezpieczenia usług, takie jak Google Play Protect . Funkcje te zmniejszają prawdopodobieństwo skutecznego wykorzystania luk w zabezpieczeniach systemu Android.

  • Eksploatację wielu problemów na Androidzie utrudniają ulepszenia w nowszych wersjach platformy Android. Zachęcamy wszystkich użytkowników, jeśli to możliwe, do aktualizacji do najnowszej wersji Androida.
  • Zespół ds. bezpieczeństwa Androida aktywnie monitoruje nadużycia za pośrednictwem Google Play Protect i ostrzega użytkowników przed potencjalnie szkodliwymi aplikacjami . Usługa Google Play Protect jest domyślnie włączona na urządzeniach z Usługami mobilnymi Google i jest szczególnie ważna dla użytkowników instalujących aplikacje spoza Google Play.

Szczegóły luki w zabezpieczeniach na poziomie poprawki zabezpieczeń 2019-08-01

W poniższych sekcjach podajemy szczegółowe informacje na temat każdej luki w zabezpieczeniach, która ma zastosowanie w wersji poprawki 2019-08-01. Luki są pogrupowane według komponentu, którego dotyczą. Znajduje się tam opis problemu oraz tabela zawierająca CVE, powiązane odniesienia, rodzaj luki , wagę i zaktualizowane wersje AOSP (w stosownych przypadkach). Jeśli to możliwe, łączymy publiczną zmianę, która rozwiązała problem, z identyfikatorem błędu, takim jak lista zmian AOSP. Gdy wiele zmian dotyczy jednego błędu, dodatkowe odniesienia są powiązane z liczbami następującymi po identyfikatorze błędu.

Środowisko wykonawcze Androida

Luka opisana w tej sekcji może umożliwić lokalnemu atakującemu ominięcie wymagań dotyczących interakcji z użytkownikiem w celu uzyskania dostępu do dodatkowych uprawnień.

CVE Bibliografia Typ Powaga Zaktualizowane wersje AOSP
CVE-2019-2120 A-130821293 EoP Wysoki 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9

Struktura

Najpoważniejsza luka w tej sekcji może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście uprzywilejowanego procesu.

CVE Bibliografia Typ Powaga Zaktualizowane wersje AOSP
CVE-2019-2121 A-131105245 EoP Wysoki 9
CVE-2019-2122 A-127605586 [ 2 ] [ 3 ] EoP Wysoki 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9
CVE-2019-2125 A-132275252 EoP Umiarkowany 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9

Ramy medialne

Najpoważniejsza luka w tej sekcji może umożliwić osobie atakującej zdalnie przy użyciu specjalnie spreparowanego pliku wykonanie dowolnego kodu w kontekście nieuprzywilejowanego procesu.

CVE Bibliografia Typ Powaga Zaktualizowane wersje AOSP
CVE-2019-2126 A-127702368 [ 2 ] RCE Wysoki 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9
CVE-2019-2128 A-132647222 EoP Wysoki 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9
CVE-2019-2129 A-124781927 ID Wysoki 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9

System

Najpoważniejsza luka w tej sekcji może umożliwić osobie atakującej zdalnie przy użyciu specjalnie spreparowanego pliku PAC wykonanie dowolnego kodu w kontekście uprzywilejowanego procesu.

CVE Bibliografia Typ Powaga Zaktualizowane wersje AOSP
CVE-2019-2130 A-132073833 RCE Krytyczny 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9
CVE-2019-2131 A-119115683 EoP Wysoki 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9
CVE-2019-2132 A-130568701 EoP Wysoki 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9
CVE-2019-2133 A-132082342 EoP Wysoki 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9
CVE-2019-2134 A-132083376 EoP Wysoki 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9
CVE-2019-2135 A-125900276 ID Wysoki 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9
CVE-2019-2136 A-132650049 [ 2 ] [ 3 ] [ 4 ] ID Wysoki 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9
CVE-2019-2137 A-132438333 [ 2 ] DoS Wysoki 9

Szczegóły luki w zabezpieczeniach na poziomie poprawki zabezpieczeń 08.08.2019 r

W poniższych sekcjach podajemy szczegółowe informacje na temat każdej luki w zabezpieczeniach, która ma zastosowanie w wersji poprawki z dnia 2019-08-05. Luki są pogrupowane według komponentu, na który wpływają, i zawierają szczegółowe informacje, takie jak CVE, powiązane odniesienia, typ luki , istotność , komponent (w stosownych przypadkach) i zaktualizowane wersje AOSP (w stosownych przypadkach). Jeśli to możliwe, łączymy publiczną zmianę, która rozwiązała problem, z identyfikatorem błędu, takim jak lista zmian AOSP. Gdy wiele zmian dotyczy jednego błędu, dodatkowe odniesienia są powiązane z liczbami następującymi po identyfikatorze błędu.

Ramy medialne

Luka opisana w tej sekcji może umożliwić lokalnemu atakującemu wykonanie dowolnego kodu w kontekście uprzywilejowanego procesu.

CVE Bibliografia Typ Powaga Zaktualizowane wersje AOSP
CVE-2019-2127 A-124899895 EoP Wysoki 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9

System

Luka opisana w tej sekcji może umożliwić bezpośredniemu atakującemu dostęp do danych lub manipulowanie nimi.

CVE Bibliografia Typ Powaga Zaktualizowane wersje AOSP
CVE-2019-9506 A-124301137 [ 2 ] ID Wysoki 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9

Komponenty firmy Broadcom

Luka opisana w tej sekcji może umożliwić osobie atakującej zdalnie przy użyciu specjalnie spreparowanej transmisji wykonanie dowolnego kodu w kontekście uprzywilejowanego procesu.

CVE Bibliografia Typ Powaga Część
CVE-2019-11516 A-132966035 * RCE Krytyczny Bluetooth

Komponenty Qualcomma

Luki te dotyczą komponentów Qualcomm i są szczegółowo opisane w odpowiednim biuletynie bezpieczeństwa Qualcomm lub alercie bezpieczeństwa. Ocena wagi tych problemów jest przeprowadzana bezpośrednio przez firmę Qualcomm.

CVE Bibliografia Typ Powaga Część
CVE-2019-10492 A-132170519
QC-CR#2389432
Nie dotyczy Krytyczny HLOS
CVE-2019-10509 A-132171185
QC-CR#2359039
Nie dotyczy Wysoki BTHOST
CVE-2019-10510 A-132173563
QC-CR#2305025
Nie dotyczy Wysoki BTHOST
CVE-2019-10499 A-134440231
QC-CR#2398099
Nie dotyczy Wysoki MProc
CVE-2019-10538 A-132193791
QC-CR#2448763
Nie dotyczy Wysoki WLAN

Komponenty Qualcomm o zamkniętym kodzie źródłowym

Luki te dotyczą komponentów Qualcomm o zamkniętym kodzie źródłowym i są opisane bardziej szczegółowo w odpowiednim biuletynie bezpieczeństwa Qualcomm lub alercie bezpieczeństwa. Ocena wagi tych problemów jest przeprowadzana bezpośrednio przez firmę Qualcomm.

CVE Bibliografia Typ Powaga Część
CVE-2019-10539 A-135126805 * Nie dotyczy Krytyczny Komponent o zamkniętym źródle
CVE-2019-10540 A-135126805 * Nie dotyczy Krytyczny Komponent o zamkniętym źródle
CVE-2019-10489 A-132108754 * Nie dotyczy Wysoki Komponent o zamkniętym źródle
CVE-2019-2294 A-132108952 * Nie dotyczy Wysoki Komponent o zamkniętym źródle

Poziom poprawki zabezpieczeń 2019-06-05 — aktualizacje

W poniższej sekcji podajemy szczegóły dotyczące dwóch kolejnych luk w zabezpieczeniach, które zostały uwzględnione w wersji poprawki z dnia 2019-06-05. Kwestie te ogłoszono na niedawnej konferencji poświęconej bezpieczeństwu w ramach skoordynowanego ujawniania informacji stronom zainteresowanym.

Komponenty Qualcomma

Luki te dotyczą komponentów Qualcomm i są szczegółowo opisane w odpowiednim biuletynie bezpieczeństwa Qualcomm lub alercie bezpieczeństwa. Ocena wagi tych problemów jest przeprowadzana bezpośrednio przez firmę Qualcomm.

CVE Bibliografia Typ Powaga Część
CVE-2019-2279 A-114073969
QC-CR#2345481 [ 2 ]
Nie dotyczy Krytyczny Oprogramowanie sprzętowe QC Venus

Komponenty Qualcomm o zamkniętym kodzie źródłowym

Luki te dotyczą komponentów Qualcomm o zamkniętym kodzie źródłowym i są opisane bardziej szczegółowo w odpowiednim biuletynie bezpieczeństwa Qualcomm lub alercie bezpieczeństwa. Ocena wagi tych problemów jest przeprowadzana bezpośrednio przez firmę Qualcomm.

CVE Bibliografia Typ Powaga Część
CVE-2019-2252 A-114235025 * Nie dotyczy Krytyczny Komponent o zamkniętym źródle

Często zadawane pytania i odpowiedzi

W tej sekcji znajdują się odpowiedzi na często zadawane pytania, które mogą pojawić się po przeczytaniu niniejszego biuletynu.

1. Jak sprawdzić, czy moje urządzenie zostało zaktualizowane w celu rozwiązania tych problemów?

Aby dowiedzieć się, jak sprawdzić poziom poprawek zabezpieczeń urządzenia, zobacz Sprawdzanie i aktualizowanie wersji Androida .

  • Poziomy poprawek zabezpieczeń z dnia 2019-08-01 lub nowsze rozwiązują wszystkie problemy związane z poziomem poprawek zabezpieczeń z dnia 2019-08-01.
  • Poziomy poprawek zabezpieczeń z dnia 2019-08-05 lub nowsze rozwiązują wszystkie problemy związane z poziomem poprawek zabezpieczeń z dnia 2019-08-05 i wszystkimi poprzednimi poziomami poprawek.

Producenci urządzeń, którzy zawierają te aktualizacje, powinni ustawić poziom ciągu poprawek na:

  • [ro.build.version.security_patch]:[2019-08-01]
  • [ro.build.version.security_patch]:[2019-08-05]

2. Dlaczego ten biuletyn ma dwa poziomy poprawek zabezpieczeń?

W tym biuletynie dostępne są dwa poziomy poprawek zabezpieczeń, dzięki czemu partnerzy systemu Android mogą szybciej naprawić podzbiór luk w zabezpieczeniach, które są podobne na wszystkich urządzeniach z systemem Android. Zachęcamy partnerów korzystających z systemu Android do naprawienia wszystkich problemów opisanych w tym biuletynie i korzystania z najnowszego poziomu poprawek zabezpieczeń.

  • Urządzenia korzystające z poprawki zabezpieczeń na poziomie 2019-08-01 muszą zawierać wszystkie problemy związane z tym poziomem poprawki zabezpieczeń, a także poprawki wszystkich problemów zgłoszonych w poprzednich biuletynach zabezpieczeń.
  • Urządzenia korzystające z poprawki zabezpieczeń na poziomie 2019-08-05 lub nowszym muszą zawierać wszystkie odpowiednie poprawki opisane w tym (i poprzednich) biuletynach zabezpieczeń.

Zachęcamy partnerów do grupowania poprawek wszystkich problemów, które rozwiązują, w ramach jednej aktualizacji.

3. Co oznaczają wpisy w kolumnie Typ ?

Wpisy w kolumnie Typ tabeli szczegółów luki odnoszą się do klasyfikacji luki w zabezpieczeniach.

Skrót Definicja
RCE Zdalne wykonanie kodu
EoP Podniesienie przywilejów
ID Ujawnianie informacji
DoS Odmowa usługi
Nie dotyczy Klasyfikacja niedostępna

4. Co oznaczają wpisy w kolumnie Referencje ?

Wpisy w kolumnie Referencje tabeli szczegółów podatności mogą zawierać przedrostek identyfikujący organizację, do której należy wartość referencyjna.

Prefiks Odniesienie
A- Identyfikator błędu Androida
Kontrola jakości- Numer referencyjny Qualcomma
M- Numer referencyjny MediaTeka
N- Numer referencyjny NVIDIA
B- Numer referencyjny firmy Broadcom

5. Co oznacza * obok identyfikatora błędu Androida w kolumnie Referencje ?

Problemy, które nie są publicznie dostępne, są oznaczone * obok identyfikatora błędu Androida w kolumnie Referencje . Aktualizacja rozwiązująca ten problem jest zazwyczaj zawarta w najnowszych sterownikach binarnych dla urządzeń Pixel dostępnych w witrynie Google Developer .

6. Dlaczego luki w zabezpieczeniach są podzielone pomiędzy ten biuletyn i biuletyny dotyczące bezpieczeństwa urządzeń/partnerów, takie jak biuletyn Pixel?

Luki w zabezpieczeniach udokumentowane w tym biuletynie zabezpieczeń są wymagane do zadeklarowania najnowszego poziomu poprawek zabezpieczeń na urządzeniach z systemem Android. Dodatkowe luki w zabezpieczeniach udokumentowane w biuletynach bezpieczeństwa urządzenia/partnera nie są wymagane do zadeklarowania poziomu poprawki zabezpieczeń. Producenci urządzeń i chipsetów z Androidem mogą również publikować szczegółowe informacje o lukach w zabezpieczeniach swoich produktów, np. Google , Huawei , LGE , Motorola , Nokia czy Samsung .

Wersje

Wersja Data Notatki
1,0 5 sierpnia 2019 r Biuletyn opublikowany
1.1 7 sierpnia 2019 r Biuletyn zmieniony w celu uwzględnienia łączy AOSP
1.2 12 sierpnia 2019 r Biuletyn zmieniony w celu uwzględnienia kwestii ogłoszonych na ostatnich konferencjach dotyczących bezpieczeństwa w ramach skoordynowanego ujawniania informacji stronom zainteresowanym