נתוני הגרסה של עדכון האבטחה ל-Android 10

פורסם ב-20 באוגוסט 2019 | עדכון אחרון: 27 בינואר 2021

בעדכון הזה מוצגים פרטים על נקודות חולשה באבטחה שמשפיעות על מכשירי Android, והוא נכלל ב-Android 10. מכשירי Android 10 עם רמת תיקון אבטחה של 1 בספטמבר 2019 ואילך מוגנים מפני הבעיות האלה (רמת תיקון האבטחה שמוגדרת כברירת מחדל ב-Android 10, כפי שהוא שוחרר ב-AOSP, היא 1 בספטמבר 2019). במאמר איך בודקים את גרסת Android ומעדכנים אותה מוסבר איך בודקים את רמת תיקון האבטחה של המכשיר.

שותפי Android מקבלים הודעות על כל הבעיות לפני הפרסום. תיקוני קוד המקור לבעיות האלה פורסמו במאגר Android Open Source Project‏ (AOSP) כחלק מהגרסה של Android 10.

הערכת החומרה של הבעיות שמפורטות בפתקים האלה מבוססת על ההשפעה האפשרית של ניצול נקודת החולשה על המכשיר המושפע, בהנחה שהאמצעי למזעור הפגיעות בפלטפורמה ובשירות מושבתים למטרות פיתוח או אם הם עוקפים בהצלחה.

לא קיבלנו דיווחים על ניצול פעיל או ניצול לרעה של הבעיות החדשות האלה על ידי לקוחות. בקטע אמצעי המיטיגציה של Android ו-Google Play Protect מפורט מידע על אמצעי ההגנה של פלטפורמת האבטחה של Android ועל Google Play Protect, שמשפרים את האבטחה של פלטפורמת Android.

הודעות

  • הבעיות המתוארות במסמך הזה טופלו כחלק מגרסה 10 של Android. המידע הזה נמסר לצורך התייחסות ושקיפות.
  • אנחנו רוצים להודות לקהילת חוקרי האבטחה על התרומות המתמשכות שלהם לשיפור האבטחה בסביבת Android.

הפחתת ההשפעה על שירותי Android ו-Google

זהו סיכום של אמצעי המיטיגציה שסופקו על ידי פלטפורמת האבטחה של Android והגנות שירות כמו Google Play Protect. היכולות האלה מצמצמות את הסיכוי לנצל לרעה נקודות חולשה באבטחה ב-Android.

  • קשה יותר לנצל לרעה בעיות רבות ב-Android בגלל שיפורים בגרסאות חדשות יותר של פלטפורמת Android. אנחנו ממליצים לכל המשתמשים לעדכן לגרסה האחרונה של Android כשהדבר אפשרי.
  • צוות האבטחה של Android עוקב באופן פעיל אחר התנהלות פוגעת באמצעות Google Play Protect, ומזהיר משתמשים לגבי אפליקציות שעלולות להזיק. Google Play Protect מופעל כברירת מחדל במכשירים עם Google Mobile Services, והוא חשוב במיוחד למשתמשים שמתקינים אפליקציות ממקורות שאינם Google Play.

Android 10 – פרטים על נקודות חולשה

הקטעים הבאים מספקים פרטים על פרצות אבטחה שתוקנו כחלק מ-Android 10. נקודות החולשה מקובצות מתחת לרכיב שהן משפיעות עליהן, וכוללות פרטים כמו ה-CVE, ההפניות המשויכות, סוג נקודת החולשה וחומרת החומרה.

סביבת זמן ריצה ל-Android‏ (ART)

CVE קובצי עזר סוג מידת החומרה
CVE-2019-9290 A-113039724 EoP בינונית
CVE-2019-9429 A-110035108 EoP בינונית

Framework

CVE קובצי עזר סוג מידת החומרה
CVE-2019-9262 A-111792351 RCE בינונית
CVE-2019-9256 A-111921829 RCE בינונית
CVE-2019-9280 A-119322269 EoP בינונית
CVE-2019-2216 A-38390530 EoP בינונית
CVE-2019-2089 A-116608833 EoP בינונית
CVE-2019-9288 A-111363077 EoP בינונית
CVE-2019-9384 A-120568007 ליש"ט בינונית
CVE-2019-9269 A-36899497 ליש"ט בינונית
CVE-2019-9378 A-124539196 EoP בינונית
CVE-2019-9380 A-123700098 ליש"ט בינונית
CVE-2019-9407 A-112434609 ליש"ט בינונית
CVE-2019-2088 A-143895055 מזהה בינונית
CVE-2019-2058 A-136089102 מזהה בינונית
CVE-2019-9351 A-128599864 מזהה בינונית
CVE-2019-9281 A-32748076 מזהה בינונית
CVE-2019-9377 A-128599663 מזהה בינונית
CVE-2019-9292 A-115384617 מזהה בינונית
CVE-2019-9424 A-110941092 מזהה בינונית
CVE-2019-9399 A-115635664 מזהה בינונית
CVE-2019-9421 A-111215250 מזהה בינונית
CVE-2019-9323 A-30770233 מזהה בינונית
CVE-2019-9438 A-77821568 מזהה בינונית
CVE-2019-9373 A-130173029 מניעת שירות (DoS) בינונית
CVE-2019-9372 A-132782448 מניעת שירות (DoS) בינונית

ספרייה

CVE קובצי עזר סוג מידת החומרה
CVE-2019-9423 A-110986616 ליש"ט בינונית
CVE-2019-9459 A-79593569 EoP בינונית

מסגרת מדיה

CVE קובצי עזר סוג מידת החומרה
CVE-2019-9297 A-112890242 RCE בינונית
CVE-2019-9298 A-112892194 RCE בינונית
CVE-2019-9299 A-112663886 RCE בינונית
CVE-2019-9300 A-112661610 RCE בינונית
CVE-2019-9301 A-112663384 RCE בינונית
CVE-2019-9302 A-112661356 RCE בינונית
CVE-2019-9303 A-112661057 RCE בינונית
CVE-2019-9304 A-112662270 RCE בינונית
CVE-2019-9305 A-112661835 RCE בינונית
CVE-2019-9306 A-112661348 RCE בינונית
CVE-2019-9307 A-112661893 RCE בינונית
CVE-2019-9308 A-112661742 RCE בינונית
CVE-2019-9346 A-128433933 RCE בינונית
CVE-2019-9357 A-112662995 RCE בינונית
CVE-2019-9382 A-120874654 RCE בינונית
CVE-2019-9405 A-112890225 RCE בינונית
CVE-2019-9278 A-112537774 RCE בינונית
CVE-2020-0086 A-131859347 EoP בינונית
CVE-2019-9310 A-112891546 EoP בינונית
CVE-2019-9232 A-122675483 מזהה בינונית
CVE-2019-9247 A-120426166 מזהה בינונית
CVE-2019-9282 A-113211371 מזהה בינונית
CVE-2019-9293 A-117661116 מזהה בינונית
CVE-2019-9294 A-111764444 מזהה בינונית
CVE-2019-9313 A-112005441 מזהה בינונית
CVE-2019-9314 A-112329563 מזהה בינונית
CVE-2019-9315 A-112326216 מזהה בינונית
CVE-2019-9316 A-112052432 מזהה בינונית
CVE-2019-9317 A-112052258 מזהה בינונית
CVE-2019-9318 A-111764725 מזהה בינונית
CVE-2019-9319 A-111762100 מזהה בינונית
CVE-2019-9320 A-111761624 מזהה בינונית
CVE-2019-9321 A-111208713 מזהה בינונית
CVE-2019-9322 A-111128067 מזהה בינונית
CVE-2019-9325 A-112001302 מזהה בינונית
CVE-2019-9334 A-112859934 מזהה בינונית
CVE-2019-9335 A-112328051 מזהה בינונית
CVE-2019-9336 A-112326322 מזהה בינונית
CVE-2019-9337 A-112204376 מזהה בינונית
CVE-2019-9338 A-111762686 מזהה בינונית
CVE-2019-9347 A-109891727 מזהה בינונית
CVE-2019-9359 A-111407302 מזהה בינונית
CVE-2019-9361 A-111762807 מזהה בינונית
CVE-2019-9362 A-120426980 מזהה בינונית
CVE-2019-9364 A-73364631 מזהה בינונית
CVE-2019-9366 A-112052062 מזהה בינונית
CVE-2019-9370 A-133880046 מזהה בינונית
CVE-2019-9406 A-112552517 מזהה בינונית
CVE-2019-9408 A-112380157 מזהה בינונית
CVE-2019-9409 A-112272091 מזהה בינונית
CVE-2019-9410 A-112204443 מזהה בינונית
CVE-2019-9411 A-112204845 מזהה בינונית
CVE-2019-9412 A-112006096 מזהה בינונית
CVE-2019-9415 A-111805098 מזהה בינונית
CVE-2019-9416 A-111804142 מזהה בינונית
CVE-2019-9433 A-80479354 מזהה בינונית
CVE-2019-9252 A-73339042 מזהה בינונית
CVE-2019-9268 A-77474014 מניעת שירות (DoS) בינונית
CVE-2020-0088 A-124389881 מניעת שירות (DoS) בינונית
CVE-2019-9283 A-112663564 מניעת שירות (DoS) בינונית
CVE-2019-9348 A-128431761 מניעת שירות (DoS) בינונית
CVE-2019-9349 A-124330204 מניעת שירות (DoS) בינונית
CVE-2019-9352 A-124253062 מניעת שירות (DoS) בינונית
CVE-2019-9371 A-132783254 מניעת שירות (DoS) בינונית
CVE-2019-9379 A-124329638 מניעת שירות (DoS) בינונית
CVE-2019-9418 A-111450210 מניעת שירות (DoS) בינונית
CVE-2019-9420 A-111272481 מניעת שירות (DoS) בינונית

מערכת

CVE קובצי עזר סוג מידת החומרה
CVE-2019-9475 A-9496886 מזהה רחב
CVE-2019-9363 A-123584306 RCE בינונית
CVE-2019-9365 A-109838537 RCE בינונית
CVE-2018-9425 A-73884967 EoP בינונית
CVE-2019-9463 A-113584607 EoP בינונית
CVE-2019-9291 A-112159179 EoP בינונית
CVE-2019-9386 A-122361874 EoP בינונית
CVE-2019-9375 A-129344244 EoP בינונית
CVE-2019-9238 A-121267042 EoP בינונית
CVE-2019-9257 A-113572342 EoP בינונית
CVE-2019-9258 A-113655028 ליש"ט בינונית
CVE-2019-9259 A-113575306 EoP בינונית
CVE-2019-9263 A-73136824 EoP בינונית
CVE-2019-9266 A-119501435 EoP בינונית
CVE-2019-9295 A-36885811 EoP בינונית
CVE-2019-9309 A-117985575 EoP בינונית
CVE-2019-9350 A-129562815 EoP בינונית
CVE-2019-9358 A-120156401 EoP בינונית
CVE-2018-9489 A-77286245 מזהה בינונית
CVE-2019-9473 A-115363533 מזהה בינונית
CVE-2019-9474 A-79996267 מזהה בינונית
CVE-2019-9440 A-37637796 מזהה בינונית
CVE-2019-9277 A-68016944 מזהה בינונית
CVE-2019-9233 A-122529021 מזהה בינונית
CVE-2019-9234 A-122465453 מזהה בינונית
CVE-2019-9235 A-122323053 מזהה בינונית
CVE-2019-9236 A-122322613 מזהה בינונית
CVE-2019-9237 A-121325979 מזהה בינונית
CVE-2019-9239 A-121263487 מזהה בינונית
CVE-2019-9240 A-121150966 מזהה בינונית
CVE-2019-9241 A-121036603 מזהה בינונית
CVE-2019-9242 A-121035878 מזהה בינונית
CVE-2019-9243 A-120905706 מזהה בינונית
CVE-2019-9244 A-120865977 מזהה בינונית
CVE-2019-9246 A-120428637 מזהה בינונית
CVE-2019-9249 A-120255805 מזהה בינונית
CVE-2019-9250 A-120276962 מזהה בינונית
CVE-2019-9251 A-120274615 מזהה בינונית
CVE-2019-9253 A-109769728 מזהה בינונית
CVE-2019-9260 A-113495295 מזהה בינונית
CVE-2019-9265 A-37994606 מזהה בינונית
CVE-2019-9272 A-11596047 מזהה בינונית
CVE-2019-9284 A-111850706 מזהה בינונית
CVE-2019-9287 A-78287084 מזהה בינונית
CVE-2019-9289 A-79883824 מזהה בינונית
CVE-2018-9581 A-111698366 מזהה בינונית
CVE-2019-9296 A-112162089 מזהה בינונית
CVE-2019-9312 A-78288018 מזהה בינונית
CVE-2019-9326 A-111215173 מזהה בינונית
CVE-2019-9328 A-111895000 מזהה בינונית
CVE-2019-9329 A-112917952 מזהה בינונית
CVE-2019-9332 A-78286500 מזהה בינונית
CVE-2019-9333 A-109753657 מזהה בינונית
CVE-2019-9344 A-120845341 מזהה בינונית
CVE-2019-9353 A-123024201 מזהה בינונית
CVE-2019-9354 A-118148142 מזהה בינונית
CVE-2019-9355 A-115903122 מזהה בינונית
CVE-2019-9356 A-111699773 מזהה בינונית
CVE-2019-9360 A-120610663 מזהה בינונית
CVE-2019-9368 A-79883568 מזהה בינונית
CVE-2019-9369 A-79995407 מזהה בינונית
CVE-2019-9381 A-122677612 מזהה בינונית
CVE-2019-9383 A-120843827 מזהה בינונית
CVE-2019-9387 A-117569833 מזהה בינונית
CVE-2019-9388 A-117567437 מזהה בינונית
CVE-2019-9403 A-113512324 מזהה בינונית
CVE-2019-9414 A-111893041 מזהה בינונית
CVE-2019-9427 A-110166350 מזהה בינונית
CVE-2019-9431 A-109755179 מזהה בינונית
CVE-2019-9432 A-80546108 מזהה בינונית
CVE-2019-9434 A-80432895 מזהה בינונית
CVE-2019-9435 A-80146682 מזהה בינונית
CVE-2019-9330 A-111214739 מזהה בינונית
CVE-2019-9331 A-112272279 מזהה בינונית
CVE-2019-9341 A-111214770 מזהה בינונית
CVE-2019-9342 A-111214470 מזהה בינונית
CVE-2019-9343 A-112050983 מזהה בינונית
CVE-2019-9367 A-112106425 מזהה בינונית
CVE-2019-9413 A-111935831 מזהה בינונית
CVE-2019-9417 A-111450079 מזהה בינונית
CVE-2019-9419 A-111407544 מזהה בינונית
CVE-2019-9422 A-111214766 מזהה בינונית
CVE-2020-0236 A-79703353 מזהה בינונית
CVE-2019-9279 A-110476382 מניעת שירות (DoS) בינונית
CVE-2019-9285 A-111215315 מניעת שירות (DoS) בינונית
CVE-2019-9286 A-111213909 מניעת שירות (DoS) בינונית
CVE-2019-9311 A-79431031 מניעת שירות (DoS) בינונית
CVE-2019-9327 A-112050583 מניעת שירות (DoS) בינונית
CVE-2019-9462 A-91544774 מניעת שירות (DoS) בינונית
CVE-2019-9389 A-117567058 מניעת שירות (DoS) בינונית
CVE-2019-9390 A-117551475 מניעת שירות (DoS) בינונית
CVE-2019-9393 A-116357965 מניעת שירות (DoS) בינונית
CVE-2019-9394 A-116351796 מניעת שירות (DoS) בינונית
CVE-2019-9395 A-116267405 מניעת שירות (DoS) בינונית
CVE-2019-9396 A-115747155 מניעת שירות (DoS) בינונית
CVE-2019-9397 A-115747410 מניעת שירות (DoS) בינונית
CVE-2019-9398 A-115745406 מניעת שירות (DoS) בינונית
CVE-2019-9400 A-115509589 מניעת שירות (DoS) בינונית
CVE-2019-9401 A-115375248 מניעת שירות (DoS) בינונית
CVE-2019-9402 A-115372550 מניעת שירות (DoS) בינונית
CVE-2019-9404 A-112923309 מניעת שירות (DoS) בינונית
CVE-2019-9425 A-110846194 מניעת שירות (DoS) בינונית
CVE-2019-9430 A-109838296 מניעת שירות (DoS) בינונית

Libxaac

ספריית libxaac של Android 9 סומנה כניסיונית והוסרה מגרסאות build של Android בסביבת הייצור כחלק מעדכון האבטחה של Android לחודש נובמבר 2018. אנחנו רוצים להודות לחוקרים על הממצאים שלהם.

הבעיות שזוהו כוללות את מזהי ה-CVE הבאים: CVE-2019-2055,‏ CVE-2019-2059,‏ CVE-2019-2060,‏ CVE-2019-2061,‏ CVE-2019-2062,‏ CVE-2019-2063,‏ CVE-2019-2064,‏ CVE-2019-2065,‏ CVE-2019-2066,‏ CVE-2019-2067,‏ CVE-2019-2068,‏ CVE-2019-2069,‏ CVE-2019-2070,‏ CVE-2019-2071,‏ CVE-2019-2072,‏ CVE-2019-2073,‏ CVE-2019-2074,‏ CVE-2019-2075,‏ CVE-2019-2076,‏ CVE-2019-2077,‏ CVE-2019-2078,‏ CVE-2019-2079,‏ CVE-2019-2080,‏ CVE-2019-2081,‏ CVE-2019-2082,‏ CVE-2019-2083,‏ CVE-2019-2084,‏ CVE-2019-2085,‏ CVE-2019-2086,‏ CVE-2019-2087,‏ CVE-2019-2138,‏ CVE-2019-2139,‏ CVE-2019-2140,‏ CVE-2019-2141,‏ CVE-2019-2142,‏ CVE-2019-2143,‏ CVE-2019-2144,‏ CVE-2019-2145,‏ CVE-2019-2146,‏ CVE-2019-2147,‏ CVE-2019-2148,‏ CVE-2019-2149,‏ CVE-2019-2150,‏ CVE-2019-2151,‏ CVE-2019-2152,‏ CVE-2019-2153,‏ CVE-2019-2154,‏ CVE-2019-2155,‏ CVE-2019-2156,‏ CVE-2019-2157,‏ CVE-2019-2158,‏ CVE-2019-2159,‏ CVE-2019-2160,‏ CVE-2019-2161,‏ CVE-2019-2162,‏ CVE-2019-2163,‏ CVE-2019-2164,‏ CVE-2019-2165,‏ CVE-2019-2166,‏ CVE-2019-2167,‏ CVE-2019-2168,‏ CVE-2019-2169,‏ CVE-2019-2170,‏ CVE-2019-2171,‏ CVE-2019-2172,‏ CVE-2019-9261,‏ CVE-2019-9264,‏ CVE-2019-9385 ו-CVE-2019-9391.

שאלות נפוצות ותשובות

בקטע הזה נענה על שאלות נפוצות שעשויות להתעורר אחרי קריאת העדכון.

1. איך אפשר לדעת אם המכשיר מעודכן כדי לטפל בבעיות האלה?

במאמר איך בודקים את גרסת Android ומעדכנים אותה מוסבר איך בודקים את רמת תיקון האבטחה של המכשיר.

ב-Android 10, כפי שהושק ב-AOSP, רמת תיקון האבטחה היא ברירת המחדל ב-2019.09.2019. במכשירי Android עם מערכת הפעלה Android 10 ורמת תיקון אבטחה מ-1 בספטמבר 2019 ואילך, תוקנו כל הבעיות שמפורטות בהודעות המוצר האלה בנושא אבטחה.

2. מה המשמעות של הרשומות בעמודה Type?
הרשאות בעמודה Type בטבלת פרטי נקודת החולשה מתייחסות לסיווג של נקודת החולשה באבטחה.

קיצור הגדרה
RCE ביצוע קוד מרחוק
EoP הסלמת הרשאות
מזהה חשיפת מידע
מניעת שירות (DoS) התקפת מניעת שירות (DoS)
לא רלוונטי הסיווג לא זמין

3. מה המשמעות של הרשומות בעמודה References?

רשומות בעמודה References בטבלת פרטי נקודת החולשה עשויות להכיל קידומת שמזהה את הארגון שאליו שייך ערך ההפניה.

תחילית חומרי עזר
A-‎ מזהה הבאג ב-Android

גרסאות

גרסה תאריך הערות
1.0 20 באוגוסט 2019 נתוני הגרסה לאבטחה פורסמו.
1.1 21 באוגוסט 2019 התאמות קלות לטבלאות של נקודות חולשה
1.2 17 בספטמבר 2019 עדכונים לגבי אישורים ורשימת הבעיות
1.3 21 בנובמבר 2019 רשימת הבעיות עודכנה
1.4 12 בפברואר 2020 רשימת הבעיות המעודכנת
1.5 26 בפברואר 2020 רשימת הבעיות המעודכנת
1.6 11 במאי 2020 רשימת הבעיות המעודכנת
1.7 11 ביוני 2020 רשימת הבעיות המעודכנת
1.8 27 בינואר 2021 רשימת הבעיות המעודכנת