發布日期:2019 年 8 月 20 日 | 更新日期:2021 年 1 月 27 日
這份 Android 安全性版本資訊列舉對 Android 裝置造成影響的安全性漏洞,並說明各項相關細節。這些漏洞已在 Android 10 中獲得解決。使用 2019-09-01 之後的安全性修補程式等級的 Android 10 裝置不受這些問題影響 (在 Android 開放原始碼計畫中,Android 10 的預設安全性修補程式等級為 2019-09-01)。請參閱檢查及更新 Android 版本一文,瞭解如何查看裝置的安全性修補程式等級。
Android 的合作夥伴會提前收到公告中所有問題的相關通知。這些問題的原始碼修補程式已隨 Android 10 發布到 Android 開放原始碼計畫 (AOSP) 存放區。
版本資訊中所列的安全漏洞嚴重程度評定標準,是假設平台與服務的因應防護措施因開發作業而遭關閉,或遭到有心人士成功規避,然後推算有人惡意運用漏洞時,使用者的裝置可能會受到多大的影響,據此評定漏洞的嚴重程度。
目前還沒有客戶指出這些新漏洞遭到明顯濫用。如果想進一步瞭解 Android 安全性平台防護措施和 Google Play 安全防護機制如何加強 Android 平台的安全性,請參閱 Android 和 Google Play 安全防護機制所提供的因應措施。
公告事項
- 本文所述的漏洞已在 Android 10 中獲得解決。我們秉持資訊公開原則提供相關資訊,方便使用者參考。
- 我們在此向安全性研究社群致謝,感謝他們對 Android 生態系統安全性的持續貢獻。
Android 和 Google 服務提供的資安因應措施
本節概述 Android 安全性平台和 Google Play 安全防護等服務防護方案所提供的因應措施。這些措施可有效防範有心人士在 Android 系統上惡意運用安全性漏洞來達到特定目的。
- Android 平台持續推出新的版本來強化安全性,因此有心人士越來越難在 Android 系統上找出漏洞加以利用。我們建議所有使用者盡可能更新至最新版的 Android。
- Android 安全性團隊透過 Google Play 安全防護主動監控濫用情形;使用這些功能的目的是在發現可能有害的應用程式時警告使用者。在預設情況下,搭載 Google 行動服務的裝置會自動啟用 Google Play 安全防護機制。對於需要從 Google Play 以外的來源安裝應用程式的使用者來說,這項防護措施格外重要。
Android 10 - 資安漏洞詳情
下列各節詳列已在 Android 10 中解決的安全漏洞,我們依照資安問題影響的元件將各項安全漏洞分門別類,並附上詳細資料,例如 CVE、相關參考資料、安全漏洞類型和嚴重程度。
Android 執行階段
| CVE | 參考資料 | 類型 | 嚴重程度 |
|---|---|---|---|
| CVE-2019-9290 | A-113039724 | EoP | 中 |
| CVE-2019-9429 | A-110035108 | EoP | 中 |
架構
| CVE | 參考資料 | 類型 | 嚴重程度 |
|---|---|---|---|
| CVE-2019-9262 | A-111792351 | RCE | 中 |
| CVE-2019-9256 | A-111921829 | RCE | 中 |
| CVE-2019-9280 | A-119322269 | EoP | 中 |
| CVE-2019-2216 | A-38390530 | EoP | 中 |
| CVE-2019-2089 | A-116608833 | EoP | 中 |
| CVE-2019-9288 | A-111363077 | EoP | 中 |
| CVE-2019-9384 | A-120568007 | EoP | 中 |
| CVE-2019-9269 | A-36899497 | EoP | 中 |
| CVE-2019-9378 | A-124539196 | EoP | 中 |
| CVE-2019-9380 | A-123700098 | EoP | 中 |
| CVE-2019-9407 | A-112434609 | EoP | 中 |
| CVE-2019-2088 | A-143895055 | ID | 中 |
| CVE-2019-2058 | A-136089102 | ID | 中 |
| CVE-2019-9351 | A-128599864 | ID | 中 |
| CVE-2019-9281 | A-32748076 | ID | 中 |
| CVE-2019-9377 | A-128599663 | ID | 中 |
| CVE-2019-9292 | A-115384617 | ID | 中 |
| CVE-2019-9424 | A-110941092 | ID | 中 |
| CVE-2019-9399 | A-115635664 | ID | 中 |
| CVE-2019-9421 | A-111215250 | ID | 中 |
| CVE-2019-9323 | A-30770233 | ID | 中 |
| CVE-2019-9438 | A-77821568 | ID | 中 |
| CVE-2019-9373 | A-130173029 | DoS | 中 |
| CVE-2019-9372 | A-132782448 | DoS | 中 |
程式庫
| CVE | 參考資料 | 類型 | 嚴重程度 |
|---|---|---|---|
| CVE-2019-9423 | A-110986616 | EoP | 中 |
| CVE-2019-9459 | A-79593569 | EoP | 中 |
媒體架構
| CVE | 參考資料 | 類型 | 嚴重程度 |
|---|---|---|---|
| CVE-2019-9297 | A-112890242 | RCE | 中 |
| CVE-2019-9298 | A-112892194 | RCE | 中 |
| CVE-2019-9299 | A-112663886 | RCE | 中 |
| CVE-2019-9300 | A-112661610 | RCE | 中 |
| CVE-2019-9301 | A-112663384 | RCE | 中 |
| CVE-2019-9302 | A-112661356 | RCE | 中 |
| CVE-2019-9303 | A-112661057 | RCE | 中 |
| CVE-2019-9304 | A-112662270 | RCE | 中 |
| CVE-2019-9305 | A-112661835 | RCE | 中 |
| CVE-2019-9306 | A-112661348 | RCE | 中 |
| CVE-2019-9307 | A-112661893 | RCE | 中 |
| CVE-2019-9308 | A-112661742 | RCE | 中 |
| CVE-2019-9346 | A-128433933 | RCE | 中 |
| CVE-2019-9357 | A-112662995 | RCE | 中 |
| CVE-2019-9382 | A-120874654 | RCE | 中 |
| CVE-2019-9405 | A-112890225 | RCE | 中 |
| CVE-2019-9278 | A-112537774 | RCE | 中 |
| CVE-2020-0086 | A-131859347 | EoP | 中 |
| CVE-2019-9310 | A-112891546 | EoP | 中 |
| CVE-2019-9232 | A-122675483 | ID | 中 |
| CVE-2019-9247 | A-120426166 | ID | 中 |
| CVE-2019-9282 | A-113211371 | ID | 中 |
| CVE-2019-9293 | A-117661116 | ID | 中 |
| CVE-2019-9294 | A-111764444 | ID | 中 |
| CVE-2019-9313 | A-112005441 | ID | 中 |
| CVE-2019-9314 | A-112329563 | ID | 中 |
| CVE-2019-9315 | A-112326216 | ID | 中 |
| CVE-2019-9316 | A-112052432 | ID | 中 |
| CVE-2019-9317 | A-112052258 | ID | 中 |
| CVE-2019-9318 | A-111764725 | ID | 中 |
| CVE-2019-9319 | A-111762100 | ID | 中 |
| CVE-2019-9320 | A-111761624 | ID | 中 |
| CVE-2019-9321 | A-111208713 | ID | 中 |
| CVE-2019-9322 | A-111128067 | ID | 中 |
| CVE-2019-9325 | A-112001302 | ID | 中 |
| CVE-2019-9334 | A-112859934 | ID | 中 |
| CVE-2019-9335 | A-112328051 | ID | 中 |
| CVE-2019-9336 | A-112326322 | ID | 中 |
| CVE-2019-9337 | A-112204376 | ID | 中 |
| CVE-2019-9338 | A-111762686 | ID | 中 |
| CVE-2019-9347 | A-109891727 | ID | 中 |
| CVE-2019-9359 | A-111407302 | ID | 中 |
| CVE-2019-9361 | A-111762807 | ID | 中 |
| CVE-2019-9362 | A-120426980 | ID | 中 |
| CVE-2019-9364 | A-73364631 | ID | 中 |
| CVE-2019-9366 | A-112052062 | ID | 中 |
| CVE-2019-9370 | A-133880046 | ID | 中 |
| CVE-2019-9406 | A-112552517 | ID | 中 |
| CVE-2019-9408 | A-112380157 | ID | 中 |
| CVE-2019-9409 | A-112272091 | ID | 中 |
| CVE-2019-9410 | A-112204443 | ID | 中 |
| CVE-2019-9411 | A-112204845 | ID | 中 |
| CVE-2019-9412 | A-112006096 | ID | 中 |
| CVE-2019-9415 | A-111805098 | ID | 中 |
| CVE-2019-9416 | A-111804142 | ID | 中 |
| CVE-2019-9433 | A-80479354 | ID | 中 |
| CVE-2019-9252 | A-73339042 | ID | 中 |
| CVE-2019-9268 | A-77474014 | DoS | 中 |
| CVE-2020-0088 | A-124389881 | DoS | 中 |
| CVE-2019-9283 | A-112663564 | DoS | 中 |
| CVE-2019-9348 | A-128431761 | DoS | 中 |
| CVE-2019-9349 | A-124330204 | DoS | 中 |
| CVE-2019-9352 | A-124253062 | DoS | 中 |
| CVE-2019-9371 | A-132783254 | DoS | 中 |
| CVE-2019-9379 | A-124329638 | DoS | 中 |
| CVE-2019-9418 | A-111450210 | DoS | 中 |
| CVE-2019-9420 | A-111272481 | DoS | 中 |
系統
| CVE | 參考資料 | 類型 | 嚴重程度 |
|---|---|---|---|
| CVE-2019-9475 | A-9496886 | ID | 高 |
| CVE-2019-9363 | A-123584306 | RCE | 中 |
| CVE-2019-9365 | A-109838537 | RCE | 中 |
| CVE-2018-9425 | A-73884967 | EoP | 中 |
| CVE-2019-9463 | A-113584607 | EoP | 中 |
| CVE-2019-9291 | A-112159179 | EoP | 中 |
| CVE-2019-9386 | A-122361874 | EoP | 中 |
| CVE-2019-9375 | A-129344244 | EoP | 中 |
| CVE-2019-9238 | A-121267042 | EoP | 中 |
| CVE-2019-9257 | A-113572342 | EoP | 中 |
| CVE-2019-9258 | A-113655028 | EoP | 中 |
| CVE-2019-9259 | A-113575306 | EoP | 中 |
| CVE-2019-9263 | A-73136824 | EoP | 中 |
| CVE-2019-9266 | A-119501435 | EoP | 中 |
| CVE-2019-9295 | A-36885811 | EoP | 中 |
| CVE-2019-9309 | A-117985575 | EoP | 中 |
| CVE-2019-9350 | A-129562815 | EoP | 中 |
| CVE-2019-9358 | A-120156401 | EoP | 中 |
| CVE-2018-9489 | A-77286245 | ID | 中 |
| CVE-2019-9473 | A-115363533 | ID | 中 |
| CVE-2019-9474 | A-79996267 | ID | 中 |
| CVE-2019-9440 | A-37637796 | ID | 中 |
| CVE-2019-9277 | A-68016944 | ID | 中 |
| CVE-2019-9233 | A-122529021 | ID | 中 |
| CVE-2019-9234 | A-122465453 | ID | 中 |
| CVE-2019-9235 | A-122323053 | ID | 中 |
| CVE-2019-9236 | A-122322613 | ID | 中 |
| CVE-2019-9237 | A-121325979 | ID | 中 |
| CVE-2019-9239 | A-121263487 | ID | 中 |
| CVE-2019-9240 | A-121150966 | ID | 中 |
| CVE-2019-9241 | A-121036603 | ID | 中 |
| CVE-2019-9242 | A-121035878 | ID | 中 |
| CVE-2019-9243 | A-120905706 | ID | 中 |
| CVE-2019-9244 | A-120865977 | ID | 中 |
| CVE-2019-9246 | A-120428637 | ID | 中 |
| CVE-2019-9249 | A-120255805 | ID | 中 |
| CVE-2019-9250 | A-120276962 | ID | 中 |
| CVE-2019-9251 | A-120274615 | ID | 中 |
| CVE-2019-9253 | A-109769728 | ID | 中 |
| CVE-2019-9260 | A-113495295 | ID | 中 |
| CVE-2019-9265 | A-37994606 | ID | 中 |
| CVE-2019-9272 | A-11596047 | ID | 中 |
| CVE-2019-9284 | A-111850706 | ID | 中 |
| CVE-2019-9287 | A-78287084 | ID | 中 |
| CVE-2019-9289 | A-79883824 | ID | 中 |
| CVE-2018-9581 | A-111698366 | ID | 中 |
| CVE-2019-9296 | A-112162089 | ID | 中 |
| CVE-2019-9312 | A-78288018 | ID | 中 |
| CVE-2019-9326 | A-111215173 | ID | 中 |
| CVE-2019-9328 | A-111895000 | ID | 中 |
| CVE-2019-9329 | A-112917952 | ID | 中 |
| CVE-2019-9332 | A-78286500 | ID | 中 |
| CVE-2019-9333 | A-109753657 | ID | 中 |
| CVE-2019-9344 | A-120845341 | ID | 中 |
| CVE-2019-9353 | A-123024201 | ID | 中 |
| CVE-2019-9354 | A-118148142 | ID | 中 |
| CVE-2019-9355 | A-115903122 | ID | 中 |
| CVE-2019-9356 | A-111699773 | ID | 中 |
| CVE-2019-9360 | A-120610663 | ID | 中 |
| CVE-2019-9368 | A-79883568 | ID | 中 |
| CVE-2019-9369 | A-79995407 | ID | 中 |
| CVE-2019-9381 | A-122677612 | ID | 中 |
| CVE-2019-9383 | A-120843827 | ID | 中 |
| CVE-2019-9387 | A-117569833 | ID | 中 |
| CVE-2019-9388 | A-117567437 | ID | 中 |
| CVE-2019-9403 | A-113512324 | ID | 中 |
| CVE-2019-9414 | A-111893041 | ID | 中 |
| CVE-2019-9427 | A-110166350 | ID | 中 |
| CVE-2019-9431 | A-109755179 | ID | 中 |
| CVE-2019-9432 | A-80546108 | ID | 中 |
| CVE-2019-9434 | A-80432895 | ID | 中 |
| CVE-2019-9435 | A-80146682 | ID | 中 |
| CVE-2019-9330 | A-111214739 | ID | 中 |
| CVE-2019-9331 | A-112272279 | ID | 中 |
| CVE-2019-9341 | A-111214770 | ID | 中 |
| CVE-2019-9342 | A-111214470 | ID | 中 |
| CVE-2019-9343 | A-112050983 | ID | 中 |
| CVE-2019-9367 | A-112106425 | ID | 中 |
| CVE-2019-9413 | A-111935831 | ID | 中 |
| CVE-2019-9417 | A-111450079 | ID | 中 |
| CVE-2019-9419 | A-111407544 | ID | 中 |
| CVE-2019-9422 | A-111214766 | ID | 中 |
| CVE-2020-0236 | A-79703353 | ID | 中 |
| CVE-2019-9279 | A-110476382 | DoS | 中 |
| CVE-2019-9285 | A-111215315 | DoS | 中 |
| CVE-2019-9286 | A-111213909 | DoS | 中 |
| CVE-2019-9311 | A-79431031 | DoS | 中 |
| CVE-2019-9327 | A-112050583 | DoS | 中 |
| CVE-2019-9462 | A-91544774 | DoS | 中 |
| CVE-2019-9389 | A-117567058 | DoS | 中 |
| CVE-2019-9390 | A-117551475 | DoS | 中 |
| CVE-2019-9393 | A-116357965 | DoS | 中 |
| CVE-2019-9394 | A-116351796 | DoS | 中 |
| CVE-2019-9395 | A-116267405 | DoS | 中 |
| CVE-2019-9396 | A-115747155 | DoS | 中 |
| CVE-2019-9397 | A-115747410 | DoS | 中 |
| CVE-2019-9398 | A-115745406 | DoS | 中 |
| CVE-2019-9400 | A-115509589 | DoS | 中 |
| CVE-2019-9401 | A-115375248 | DoS | 中 |
| CVE-2019-9402 | A-115372550 | DoS | 中 |
| CVE-2019-9404 | A-112923309 | DoS | 中 |
| CVE-2019-9425 | A-110846194 | DoS | 中 |
| CVE-2019-9430 | A-109838296 | DoS | 中 |
Libxaac
我們已將 Android 9 Libxaac 程式庫標示為實驗性程式庫,並且從 Android 正式版本中移除 (如 2018 年 11 月 Android 安全性公告所述)。我們要向相關研究人員的研究成果致謝。
上述問題包含下列 CVE ID:CVE-2019-2055、CVE-2019-2059、CVE-2019-2060、CVE-2019-2061、CVE-2019-2062、CVE-2019-2063、CVE-2019-2064、CVE-2019-2065、CVE-2019-2066、CVE-2019-2067、CVE-2019-2068、CVE-2019-2069、CVE-2019-2070、CVE-2019-2071、CVE-2019-2072、CVE-2019-2073、CVE-2019-2074、CVE-2019-2075、CVE-2019-2076、CVE-2019-2077、CVE-2019-2078、CVE-2019-2079、CVE-2019-2080、CVE-2019-2081、CVE-2019-2082、CVE-2019-2083、CVE-2019-2084、CVE-2019-2085、CVE-2019-2086、CVE-2019-2087、CVE-2019-2138、CVE-2019-2139、CVE-2019-2140、CVE-2019-2141、CVE-2019-2142、CVE-2019-2143、CVE-2019-2144、CVE-2019-2145、CVE-2019-2146、CVE-2019-2147、CVE-2019-2148、CVE-2019-2149、CVE-2019-2150、CVE-2019-2151、CVE-2019-2152、CVE-2019-2153、CVE-2019-2154、CVE-2019-2155、CVE-2019-2156、CVE-2019-2157、CVE-2019-2158、CVE-2019-2159、CVE-2019-2160、CVE-2019-2161、CVE-2019-2162、CVE-2019-2163、CVE-2019-2164、CVE-2019-2165、CVE-2019-2166、CVE-2019-2167、CVE-2019-2168、CVE-2019-2169、CVE-2019-2170、CVE-2019-2171、CVE-2019-2172、CVE-2019-9261、CVE-2019-9264、CVE-2019-9385 和 CVE-2019-9391。
常見問題與解答
如果您在閱讀這篇公告後有任何疑問,可參考本節的常見問答。
1. 如何判斷我目前的裝置軟體版本是否已修正這些問題?
請參閱檢查及更新 Android 版本一文,瞭解如何查看裝置的安全性修補程式等級。
透過 Android 開放原始碼計畫所發布 Android 10 的預設安全性修補程式等級為 2019-09-01。使用 2019-09-01 之後的安全性修補程式等級的 Android 10 裝置已解決了安全性版本資訊所述的所有問題。
2.「類型」欄中的項目代表什麼意義?
在安全漏洞詳情表格中,「類型」欄中的項目代表的是安全漏洞的類別。
| 縮寫 | 定義 |
|---|---|
| RCE | 遠端程式碼執行 |
| EoP | 權限升級 |
| ID | 資訊外洩 |
| DoS | 阻斷服務 |
| 無 | 未分類 |
3.「參考資料」欄底下列出的識別碼代表什麼意義?
資安漏洞詳情表格中「參考資料」欄底下的項目可能會包含一個前置字串,用以表示該參考資料值所屬的機構或公司。
| 前置字串 | 參考資料 |
|---|---|
| A- | Android 錯誤 ID |
版本
| 版本 | 日期 | 附註 |
|---|---|---|
| 1.0 | 2019 年 8 月 20 日 | 發布安全性版本資訊。 |
| 1.1 | 2019 年 8 月 21 日 | 微幅調整安全漏洞表格。 |
| 1.2 | 2019 年 9 月 17 日 | 更新特別銘謝名單和問題清單。 |
| 1.3 | 2019 年 11 月 21 日 | 更新問題清單 |
| 1.4 | 2020 年 2 月 12 日 | 更新問題清單 |
| 1.5 | 2020 年 2 月 26 日 | 更新問題清單 |
| 1.6 | 2020 年 5 月 11 日 | 更新問題清單 |
| 1.7 | 2020 年 6 月 11 日 | 更新問題清單 |
| 1.8 | 2021 年 1 月 27 日 | 更新問題清單 |