Android 10 安全性版本資訊

發布日期:2019 年 8 月 20 日 | 更新日期:2021 年 1 月 27 日

這份 Android 安全性版本資訊列舉對 Android 裝置造成影響的安全性漏洞,並說明各項相關細節。這些漏洞已在 Android 10 中獲得解決。使用 2019-09-01 之後的安全性修補程式等級的 Android 10 裝置不受這些問題影響 (在 Android 開放原始碼計畫中,Android 10 的預設安全性修補程式等級為 2019-09-01)。請參閱檢查及更新 Android 版本一文,瞭解如何查看裝置的安全性修補程式等級。

Android 的合作夥伴至少會提前一個月收到公告中所有問題的相關通知。這些問題的原始碼修補程式已隨 Android 10 發布到 Android 開放原始碼計畫 (AOSP) 存放區。

版本資訊中所列的安全漏洞嚴重程度評定標準,是假設平台與服務的因應防護措施因開發作業而遭關閉,或遭到有心人士成功規避,然後推算有人惡意運用漏洞時,使用者的裝置可能會受到多大的影響,據此評定漏洞的嚴重程度。

目前還沒有客戶指出這些新漏洞遭到明顯濫用。如果想進一步瞭解 Android 安全性平台防護措施和 Google Play 安全防護機制如何加強 Android 平台的安全性,請參閱 Android 和 Google Play 安全防護機制所提供的因應措施

公告事項

  • 本文所述的漏洞已在 Android 10 中獲得解決。我們秉持資訊公開原則提供相關資訊,方便使用者參考。
  • 我們在此向安全性研究社群致謝,感謝他們對 Android 生態系統安全性的持續貢獻。

Android 和 Google 服務的資安因應措施

本節概述 Android 安全性平台Google Play 安全防護等服務防護方案所提供的因應措施。這些措施可有效防範有心人士在 Android 系統上惡意運用安全性漏洞來達到特定目的。

  • Android 平台持續推出新的版本來強化安全性,因此有心人士越來越難在 Android 系統上找出漏洞加以利用。我們建議所有使用者盡可能更新至最新版的 Android。
  • Android 安全性團隊透過 Google Play 安全防護主動監控濫用情形;使用這些功能的目的是在發現可能有害的應用程式時警告使用者。在預設情況下,搭載 Google 行動服務的裝置會自動啟用 Google Play 安全防護機制。對於需要從 Google Play 以外的來源安裝應用程式的使用者來說,這項防護措施格外重要。

Android 10 - 資安漏洞詳情

下列各節詳列已在 Android 10 中解決的安全漏洞,我們依照資安問題影響的元件將各項安全漏洞分門別類,並附上詳細資料,例如 CVE、相關參考資料、安全漏洞類型嚴重程度

Android 執行階段

CVE 參考資料 類型 嚴重程度
CVE-2019-9290 A-113039724 EoP
CVE-2019-9429 A-110035108 EoP

架構

CVE 參考資料 類型 嚴重程度
CVE-2019-9262 A-111792351 RCE
CVE-2019-9256 A-111921829 RCE
CVE-2019-9280 A-119322269 EoP
CVE-2019-2216 A-38390530 EoP
CVE-2019-2089 A-116608833 EoP
CVE-2019-9288 A-111363077 EoP
CVE-2019-9384 A-120568007 EoP
CVE-2019-9269 A-36899497 EoP
CVE-2019-9378 A-124539196 EoP
CVE-2019-9380 A-123700098 EoP
CVE-2019-9407 A-112434609 EoP
CVE-2019-2088 A-143895055 ID
CVE-2019-2058 A-136089102 ID
CVE-2019-9351 A-128599864 ID
CVE-2019-9281 A-32748076 ID
CVE-2019-9377 A-128599663 ID
CVE-2019-9292 A-115384617 ID
CVE-2019-9424 A-110941092 ID
CVE-2019-9399 A-115635664 ID
CVE-2019-9421 A-111215250 ID
CVE-2019-9323 A-30770233 ID
CVE-2019-9438 A-77821568 ID
CVE-2019-9373 A-130173029 DoS
CVE-2019-9372 A-132782448 DoS

程式庫

CVE 參考資料 類型 嚴重程度
CVE-2019-9423 A-110986616 EoP
CVE-2019-9459 A-79593569 EoP

媒體架構

CVE 參考資料 類型 嚴重程度
CVE-2019-9297 A-112890242 RCE
CVE-2019-9298 A-112892194 RCE
CVE-2019-9299 A-112663886 RCE
CVE-2019-9300 A-112661610 RCE
CVE-2019-9301 A-112663384 RCE
CVE-2019-9302 A-112661356 RCE
CVE-2019-9303 A-112661057 RCE
CVE-2019-9304 A-112662270 RCE
CVE-2019-9305 A-112661835 RCE
CVE-2019-9306 A-112661348 RCE
CVE-2019-9307 A-112661893 RCE
CVE-2019-9308 A-112661742 RCE
CVE-2019-9346 A-128433933 RCE
CVE-2019-9357 A-112662995 RCE
CVE-2019-9382 A-120874654 RCE
CVE-2019-9405 A-112890225 RCE
CVE-2019-9278 A-112537774 RCE
CVE-2020-0086 A-131859347 EoP
CVE-2019-9310 A-112891546 EoP
CVE-2019-9232 A-122675483 ID
CVE-2019-9247 A-120426166 ID
CVE-2019-9282 A-113211371 ID
CVE-2019-9293 A-117661116 ID
CVE-2019-9294 A-111764444 ID
CVE-2019-9313 A-112005441 ID
CVE-2019-9314 A-112329563 ID
CVE-2019-9315 A-112326216 ID
CVE-2019-9316 A-112052432 ID
CVE-2019-9317 A-112052258 ID
CVE-2019-9318 A-111764725 ID
CVE-2019-9319 A-111762100 ID
CVE-2019-9320 A-111761624 ID
CVE-2019-9321 A-111208713 ID
CVE-2019-9322 A-111128067 ID
CVE-2019-9325 A-112001302 ID
CVE-2019-9334 A-112859934 ID
CVE-2019-9335 A-112328051 ID
CVE-2019-9336 A-112326322 ID
CVE-2019-9337 A-112204376 ID
CVE-2019-9338 A-111762686 ID
CVE-2019-9347 A-109891727 ID
CVE-2019-9359 A-111407302 ID
CVE-2019-9361 A-111762807 ID
CVE-2019-9362 A-120426980 ID
CVE-2019-9364 A-73364631 ID
CVE-2019-9366 A-112052062 ID
CVE-2019-9370 A-133880046 ID
CVE-2019-9406 A-112552517 ID
CVE-2019-9408 A-112380157 ID
CVE-2019-9409 A-112272091 ID
CVE-2019-9410 A-112204443 ID
CVE-2019-9411 A-112204845 ID
CVE-2019-9412 A-112006096 ID
CVE-2019-9415 A-111805098 ID
CVE-2019-9416 A-111804142 ID
CVE-2019-9433 A-80479354 ID
CVE-2019-9252 A-73339042 ID
CVE-2019-9268 A-77474014 DoS
CVE-2020-0088 A-124389881 DoS
CVE-2019-9283 A-112663564 DoS
CVE-2019-9348 A-128431761 DoS
CVE-2019-9349 A-124330204 DoS
CVE-2019-9352 A-124253062 DoS
CVE-2019-9371 A-132783254 DoS
CVE-2019-9379 A-124329638 DoS
CVE-2019-9418 A-111450210 DoS
CVE-2019-9420 A-111272481 DoS

系統

CVE 參考資料 類型 嚴重程度
CVE-2019-9475 A-9496886 ID
CVE-2019-9363 A-123584306 RCE
CVE-2019-9365 A-109838537 RCE
CVE-2018-9425 A-73884967 EoP
CVE-2019-9463 A-113584607 EoP
CVE-2019-9291 A-112159179 EoP
CVE-2019-9386 A-122361874 EoP
CVE-2019-9375 A-129344244 EoP
CVE-2019-9238 A-121267042 EoP
CVE-2019-9257 A-113572342 EoP
CVE-2019-9258 A-113655028 EoP
CVE-2019-9259 A-113575306 EoP
CVE-2019-9263 A-73136824 EoP
CVE-2019-9266 A-119501435 EoP
CVE-2019-9295 A-36885811 EoP
CVE-2019-9309 A-117985575 EoP
CVE-2019-9350 A-129562815 EoP
CVE-2019-9358 A-120156401 EoP
CVE-2018-9489 A-77286245 ID
CVE-2019-9473 A-115363533 ID
CVE-2019-9474 A-79996267 ID
CVE-2019-9440 A-37637796 ID
CVE-2019-9277 A-68016944 ID
CVE-2019-9233 A-122529021 ID
CVE-2019-9234 A-122465453 ID
CVE-2019-9235 A-122323053 ID
CVE-2019-9236 A-122322613 ID
CVE-2019-9237 A-121325979 ID
CVE-2019-9239 A-121263487 ID
CVE-2019-9240 A-121150966 ID
CVE-2019-9241 A-121036603 ID
CVE-2019-9242 A-121035878 ID
CVE-2019-9243 A-120905706 ID
CVE-2019-9244 A-120865977 ID
CVE-2019-9246 A-120428637 ID
CVE-2019-9249 A-120255805 ID
CVE-2019-9250 A-120276962 ID
CVE-2019-9251 A-120274615 ID
CVE-2019-9253 A-109769728 ID
CVE-2019-9260 A-113495295 ID
CVE-2019-9265 A-37994606 ID
CVE-2019-9272 A-11596047 ID
CVE-2019-9284 A-111850706 ID
CVE-2019-9287 A-78287084 ID
CVE-2019-9289 A-79883824 ID
CVE-2018-9581 A-111698366 ID
CVE-2019-9296 A-112162089 ID
CVE-2019-9312 A-78288018 ID
CVE-2019-9326 A-111215173 ID
CVE-2019-9328 A-111895000 ID
CVE-2019-9329 A-112917952 ID
CVE-2019-9332 A-78286500 ID
CVE-2019-9333 A-109753657 ID
CVE-2019-9344 A-120845341 ID
CVE-2019-9353 A-123024201 ID
CVE-2019-9354 A-118148142 ID
CVE-2019-9355 A-115903122 ID
CVE-2019-9356 A-111699773 ID
CVE-2019-9360 A-120610663 ID
CVE-2019-9368 A-79883568 ID
CVE-2019-9369 A-79995407 ID
CVE-2019-9381 A-122677612 ID
CVE-2019-9383 A-120843827 ID
CVE-2019-9387 A-117569833 ID
CVE-2019-9388 A-117567437 ID
CVE-2019-9403 A-113512324 ID
CVE-2019-9414 A-111893041 ID
CVE-2019-9427 A-110166350 ID
CVE-2019-9431 A-109755179 ID
CVE-2019-9432 A-80546108 ID
CVE-2019-9434 A-80432895 ID
CVE-2019-9435 A-80146682 ID
CVE-2019-9330 A-111214739 ID
CVE-2019-9331 A-112272279 ID
CVE-2019-9341 A-111214770 ID
CVE-2019-9342 A-111214470 ID
CVE-2019-9343 A-112050983 ID
CVE-2019-9367 A-112106425 ID
CVE-2019-9413 A-111935831 ID
CVE-2019-9417 A-111450079 ID
CVE-2019-9419 A-111407544 ID
CVE-2019-9422 A-111214766 ID
CVE-2020-0236 A-79703353 ID
CVE-2019-9279 A-110476382 DoS
CVE-2019-9285 A-111215315 DoS
CVE-2019-9286 A-111213909 DoS
CVE-2019-9311 A-79431031 DoS
CVE-2019-9327 A-112050583 DoS
CVE-2019-9462 A-91544774 DoS
CVE-2019-9389 A-117567058 DoS
CVE-2019-9390 A-117551475 DoS
CVE-2019-9393 A-116357965 DoS
CVE-2019-9394 A-116351796 DoS
CVE-2019-9395 A-116267405 DoS
CVE-2019-9396 A-115747155 DoS
CVE-2019-9397 A-115747410 DoS
CVE-2019-9398 A-115745406 DoS
CVE-2019-9400 A-115509589 DoS
CVE-2019-9401 A-115375248 DoS
CVE-2019-9402 A-115372550 DoS
CVE-2019-9404 A-112923309 DoS
CVE-2019-9425 A-110846194 DoS
CVE-2019-9430 A-109838296 DoS

Libxaac

我們已將 Android 9 Libxaac 程式庫標示為實驗性程式庫,並且從 Android 正式版本中移除 (如 2018 年 11 月 Android 安全性公告所述)。我們要向相關研究人員的研究成果致謝。

上述問題包含下列 CVE ID:CVE-2019-2055、CVE-2019-2059、CVE-2019-2060、CVE-2019-2061、CVE-2019-2062、CVE-2019-2063、CVE-2019-2064、CVE-2019-2065、CVE-2019-2066、CVE-2019-2067、CVE-2019-2068、CVE-2019-2069、CVE-2019-2070、CVE-2019-2071、CVE-2019-2072、CVE-2019-2073、CVE-2019-2074、CVE-2019-2075、CVE-2019-2076、CVE-2019-2077、CVE-2019-2078、CVE-2019-2079、CVE-2019-2080、CVE-2019-2081、CVE-2019-2082、CVE-2019-2083、CVE-2019-2084、CVE-2019-2085、CVE-2019-2086、CVE-2019-2087、CVE-2019-2138、CVE-2019-2139、CVE-2019-2140、CVE-2019-2141、CVE-2019-2142、CVE-2019-2143、CVE-2019-2144、CVE-2019-2145、CVE-2019-2146、CVE-2019-2147、CVE-2019-2148、CVE-2019-2149、CVE-2019-2150、CVE-2019-2151、CVE-2019-2152、CVE-2019-2153、CVE-2019-2154、CVE-2019-2155、CVE-2019-2156、CVE-2019-2157、CVE-2019-2158、CVE-2019-2159、CVE-2019-2160、CVE-2019-2161、CVE-2019-2162、CVE-2019-2163、CVE-2019-2164、CVE-2019-2165、CVE-2019-2166、CVE-2019-2167、CVE-2019-2168、CVE-2019-2169、CVE-2019-2170、CVE-2019-2171、CVE-2019-2172、CVE-2019-9261、CVE-2019-9264、CVE-2019-9385 和 CVE-2019-9391。

常見問題與解答

如果您在閱讀這篇公告後有任何疑問,可參考本節的常見問答。

1. 如何判斷我目前的裝置軟體版本是否已修正這些問題?

請參閱檢查及更新 Android 版本一文,瞭解如何查看裝置的安全性修補程式等級。

透過 Android 開放原始碼計畫所發布 Android 10 的預設安全性修補程式等級為 2019-09-01。使用 2019-09-01 之後的安全性修補程式等級的 Android 10 裝置已解決了安全性版本資訊所述的所有問題。

2.「類型」欄中的項目代表什麼意義?
在安全漏洞詳情表格中,「類型」欄中的項目代表的是安全漏洞的類別。

縮寫 定義
RCE 遠端程式碼執行
EoP 權限提升
ID 資訊外洩
DoS 阻斷服務
未分類

3.「參考資料」欄底下列出的識別碼代表什麼意義?

資安漏洞詳情表格中「參考資料」欄底下的項目可能會包含一個前置字串,用以表示該參考資料值所屬的機構或公司。

前置字串 參考資料
A- Android 錯誤 ID

版本

版本 日期 附註
1.0 2019 年 8 月 20 日 發布安全性版本資訊。
1.1 2019 年 8 月 21 日 微幅調整安全漏洞表格。
1.2 2019 年 9 月 17 日 更新特別銘謝名單和問題清單。
1.3 2019 年 11 月 21 日 更新問題清單
1.4 2020 年 2 月 12 日 更新問題清單
1.5 2020 年 2 月 26 日 更新問題清單
1.6 2020 年 5 月 11 日 更新問題清單
1.7 2020 年 6 月 11 日 更新問題清單
1.8 2021 年 1 月 27 日 更新問題清單