Veröffentlicht am 20. August 2019 | Aktualisiert am 27. Januar 2021
Diese Sicherheits-Release-Notes für Android enthalten Details zu Sicherheitslücken auf Android-Geräten, die in Android 10 geschlossen wurden. Android 10-Geräte mit der Sicherheitspatch-Ebene vom 01.09.2019 oder höher sind vor diesen Problemen geschützt. Android 10, wie es auf AOSP veröffentlicht wurde, hat standardmäßig die Sicherheitspatch-Ebene vom 01.09.2019. Wie Sie den Stand des Sicherheitsupdates eines Geräts prüfen, erfahren Sie im Hilfeartikel Android-Version prüfen und aktualisieren.
Android-Partner werden vor der Veröffentlichung über alle Probleme informiert. Quellcode-Patches für diese Probleme werden im Rahmen der Veröffentlichung von Android 10 im AOSP-Repository (Android Open Source Project) veröffentlicht.
Die Bewertung der Schwere von Problemen in diesen Release Notes basiert auf der möglichen Auswirkung der Ausnutzung der Sicherheitslücke auf ein betroffenes Gerät, vorausgesetzt, die Plattform- und Dienstminderungsmechanismen sind zu Entwicklungszwecken deaktiviert oder werden erfolgreich umgangen.
Uns liegen keine Berichte über eine aktive Ausnutzung oder einen Missbrauch dieser neu gemeldeten Probleme durch Kunden vor. Im Abschnitt Maßnahmen für Android und Google Play Protect finden Sie Details zu den Sicherheitsmechanismen der Android-Plattform und Google Play Protect, die die Sicherheit der Android-Plattform verbessern.
Ankündigungen
- Die in diesem Dokument beschriebenen Probleme werden in Android 10 behoben. Diese Informationen dienen zu Informationszwecken und zur Transparenz.
- Wir möchten der Sicherheitsforschungscommunity für ihre Beiträge zur Sicherheit des Android-Systems danken.
Maßnahmen für Android- und Google-Dienste
Hier finden Sie eine Zusammenfassung der Schutzmaßnahmen, die von der Android-Sicherheitsplattform und Dienstschutzmaßnahmen wie Google Play Protect bereitgestellt werden. Diese Funktionen verringern die Wahrscheinlichkeit, dass Sicherheitslücken auf Android-Geräten erfolgreich ausgenutzt werden können.
- Die Ausnutzung vieler Probleme auf Android wird durch Verbesserungen in neueren Versionen der Android-Plattform erschwert. Wir empfehlen allen Nutzern, nach Möglichkeit auf die neueste Android-Version zu aktualisieren.
- Das Android-Sicherheitsteam überwacht aktiv über Google Play Protect den Missbrauch und warnt Nutzer vor potenziell schädlichen Apps. Google Play Protect ist auf Geräten mit Google Mobile-Diensten standardmäßig aktiviert und ist besonders wichtig für Nutzer, die Apps von Drittanbietern installieren.
Android 10 – Details zur Sicherheitslücke
In den folgenden Abschnitten finden Sie Details zu Sicherheitslücken, die im Rahmen von Android 10 geschlossen wurden. Sicherheitslücken werden nach der betroffenen Komponente gruppiert und enthalten Details wie die CVE, zugehörige Referenzen, die Art der Sicherheitslücke und den Schweregrad.
Android-Laufzeit
| CVE | Referenzen | Eingeben | Schweregrad |
|---|---|---|---|
| CVE-2019-9290 | A-113039724 | EoP | Moderat |
| CVE-2019-9429 | A-110035108 | EoP | Moderat |
Framework
| CVE | Referenzen | Eingeben | Schweregrad |
|---|---|---|---|
| CVE-2019-9262 | A-111792351 | RCE | Moderat |
| CVE-2019-9256 | A-111921829 | RCE | Moderat |
| CVE-2019-9280 | A-119322269 | EoP | Moderat |
| CVE-2019-2216 | A-38390530 | EoP | Moderat |
| CVE-2019-2089 | A-116608833 | EoP | Moderat |
| CVE-2019-9288 | A-111363077 | EoP | Moderat |
| CVE-2019-9384 | A-120568007 | EoP | Moderat |
| CVE-2019-9269 | A-36899497 | EoP | Moderat |
| CVE-2019-9378 | A-124539196 | EoP | Moderat |
| CVE-2019-9380 | A-123700098 | EoP | Moderat |
| CVE-2019-9407 | A-112434609 | EoP | Moderat |
| CVE-2019-2088 | A-143895055 | ID | Moderat |
| CVE-2019-2058 | A-136089102 | ID | Moderat |
| CVE-2019-9351 | A-128599864 | ID | Moderat |
| CVE-2019-9281 | A-32748076 | ID | Moderat |
| CVE-2019-9377 | A-128599663 | ID | Moderat |
| CVE-2019-9292 | A-115384617 | ID | Moderat |
| CVE-2019-9424 | A-110941092 | ID | Moderat |
| CVE-2019-9399 | A-115635664 | ID | Moderat |
| CVE-2019-9421 | A-111215250 | ID | Moderat |
| CVE-2019-9323 | A-30770233 | ID | Moderat |
| CVE-2019-9438 | A-77821568 | ID | Moderat |
| CVE-2019-9373 | A-130173029 | DoS | Moderat |
| CVE-2019-9372 | A-132782448 | DoS | Moderat |
Mediathek
| CVE | Referenzen | Eingeben | Schweregrad |
|---|---|---|---|
| CVE-2019-9423 | A-110986616 | EoP | Moderat |
| CVE-2019-9459 | A-79593569 | EoP | Moderat |
Medien-Framework
| CVE | Referenzen | Eingeben | Schweregrad |
|---|---|---|---|
| CVE-2019-9297 | A-112890242 | RCE | Moderat |
| CVE-2019-9298 | A-112892194 | RCE | Moderat |
| CVE-2019-9299 | A-112663886 | RCE | Moderat |
| CVE-2019-9300 | A-112661610 | RCE | Moderat |
| CVE-2019-9301 | A-112663384 | RCE | Moderat |
| CVE-2019-9302 | A-112661356 | RCE | Moderat |
| CVE-2019-9303 | A-112661057 | RCE | Moderat |
| CVE-2019-9304 | A-112662270 | RCE | Moderat |
| CVE-2019-9305 | A-112661835 | RCE | Moderat |
| CVE-2019-9306 | A-112661348 | RCE | Moderat |
| CVE-2019-9307 | A-112661893 | RCE | Moderat |
| CVE-2019-9308 | A-112661742 | RCE | Moderat |
| CVE-2019-9346 | A-128433933 | RCE | Moderat |
| CVE-2019-9357 | A-112662995 | RCE | Moderat |
| CVE-2019-9382 | A-120874654 | RCE | Moderat |
| CVE-2019-9405 | A-112890225 | RCE | Moderat |
| CVE-2019-9278 | A-112537774 | RCE | Moderat |
| CVE-2020-0086 | A-131859347 | EoP | Moderat |
| CVE-2019-9310 | A-112891546 | EoP | Moderat |
| CVE-2019-9232 | A-122675483 | ID | Moderat |
| CVE-2019-9247 | A-120426166 | ID | Moderat |
| CVE-2019-9282 | A-113211371 | ID | Moderat |
| CVE-2019-9293 | A-117661116 | ID | Moderat |
| CVE-2019-9294 | A-111764444 | ID | Moderat |
| CVE-2019-9313 | A-112005441 | ID | Moderat |
| CVE-2019-9314 | A-112329563 | ID | Moderat |
| CVE-2019-9315 | A-112326216 | ID | Moderat |
| CVE-2019-9316 | A-112052432 | ID | Moderat |
| CVE-2019-9317 | A-112052258 | ID | Moderat |
| CVE-2019-9318 | A-111764725 | ID | Moderat |
| CVE-2019-9319 | A-111762100 | ID | Moderat |
| CVE-2019-9320 | A-111761624 | ID | Moderat |
| CVE-2019-9321 | A-111208713 | ID | Moderat |
| CVE-2019-9322 | A-111128067 | ID | Moderat |
| CVE-2019-9325 | A-112001302 | ID | Moderat |
| CVE-2019-9334 | A-112859934 | ID | Moderat |
| CVE-2019-9335 | A-112328051 | ID | Moderat |
| CVE-2019-9336 | A-112326322 | ID | Moderat |
| CVE-2019-9337 | A-112204376 | ID | Moderat |
| CVE-2019-9338 | A-111762686 | ID | Moderat |
| CVE-2019-9347 | A-109891727 | ID | Moderat |
| CVE-2019-9359 | A-111407302 | ID | Moderat |
| CVE-2019-9361 | A-111762807 | ID | Moderat |
| CVE-2019-9362 | A-120426980 | ID | Moderat |
| CVE-2019-9364 | A-73364631 | ID | Moderat |
| CVE-2019-9366 | A-112052062 | ID | Moderat |
| CVE-2019-9370 | A-133880046 | ID | Moderat |
| CVE-2019-9406 | A-112552517 | ID | Moderat |
| CVE-2019-9408 | A-112380157 | ID | Moderat |
| CVE-2019-9409 | A-112272091 | ID | Moderat |
| CVE-2019-9410 | A-112204443 | ID | Moderat |
| CVE-2019-9411 | A-112204845 | ID | Moderat |
| CVE-2019-9412 | A-112006096 | ID | Moderat |
| CVE-2019-9415 | A-111805098 | ID | Moderat |
| CVE-2019-9416 | A-111804142 | ID | Moderat |
| CVE-2019-9433 | A-80479354 | ID | Moderat |
| CVE-2019-9252 | A-73339042 | ID | Moderat |
| CVE-2019-9268 | A-77474014 | DoS | Moderat |
| CVE-2020-0088 | A-124389881 | DoS | Moderat |
| CVE-2019-9283 | A-112663564 | DoS | Moderat |
| CVE-2019-9348 | A-128431761 | DoS | Moderat |
| CVE-2019-9349 | A-124330204 | DoS | Moderat |
| CVE-2019-9352 | A-124253062 | DoS | Moderat |
| CVE-2019-9371 | A-132783254 | DoS | Moderat |
| CVE-2019-9379 | A-124329638 | DoS | Moderat |
| CVE-2019-9418 | A-111450210 | DoS | Moderat |
| CVE-2019-9420 | A-111272481 | DoS | Moderat |
System
| CVE | Referenzen | Eingeben | Schweregrad |
|---|---|---|---|
| CVE-2019-9475 | A-9496886 | ID | Hoch |
| CVE-2019-9363 | A-123584306 | RCE | Moderat |
| CVE-2019-9365 | A-109838537 | RCE | Moderat |
| CVE-2018-9425 | A-73884967 | EoP | Moderat |
| CVE-2019-9463 | A-113584607 | EoP | Moderat |
| CVE-2019-9291 | A-112159179 | EoP | Moderat |
| CVE-2019-9386 | A-122361874 | EoP | Moderat |
| CVE-2019-9375 | A-129344244 | EoP | Moderat |
| CVE-2019-9238 | A-121267042 | EoP | Moderat |
| CVE-2019-9257 | A-113572342 | EoP | Moderat |
| CVE-2019-9258 | A-113655028 | EoP | Moderat |
| CVE-2019-9259 | A-113575306 | EoP | Moderat |
| CVE-2019-9263 | A-73136824 | EoP | Moderat |
| CVE-2019-9266 | A-119501435 | EoP | Moderat |
| CVE-2019-9295 | A-36885811 | EoP | Moderat |
| CVE-2019-9309 | A-117985575 | EoP | Moderat |
| CVE-2019-9350 | A-129562815 | EoP | Moderat |
| CVE-2019-9358 | A-120156401 | EoP | Moderat |
| CVE-2018-9489 | A-77286245 | ID | Moderat |
| CVE-2019-9473 | A-115363533 | ID | Moderat |
| CVE-2019-9474 | A-79996267 | ID | Moderat |
| CVE-2019-9440 | A-37637796 | ID | Moderat |
| CVE-2019-9277 | A-68016944 | ID | Moderat |
| CVE-2019-9233 | A-122529021 | ID | Moderat |
| CVE-2019-9234 | A-122465453 | ID | Moderat |
| CVE-2019-9235 | A-122323053 | ID | Moderat |
| CVE-2019-9236 | A-122322613 | ID | Moderat |
| CVE-2019-9237 | A-121325979 | ID | Moderat |
| CVE-2019-9239 | A-121263487 | ID | Moderat |
| CVE-2019-9240 | A-121150966 | ID | Moderat |
| CVE-2019-9241 | A-121036603 | ID | Moderat |
| CVE-2019-9242 | A-121035878 | ID | Moderat |
| CVE-2019-9243 | A-120905706 | ID | Moderat |
| CVE-2019-9244 | A-120865977 | ID | Moderat |
| CVE-2019-9246 | A-120428637 | ID | Moderat |
| CVE-2019-9249 | A-120255805 | ID | Moderat |
| CVE-2019-9250 | A-120276962 | ID | Moderat |
| CVE-2019-9251 | A-120274615 | ID | Moderat |
| CVE-2019-9253 | A-109769728 | ID | Moderat |
| CVE-2019-9260 | A-113495295 | ID | Moderat |
| CVE-2019-9265 | A-37994606 | ID | Moderat |
| CVE-2019-9272 | A-11596047 | ID | Moderat |
| CVE-2019-9284 | A-111850706 | ID | Moderat |
| CVE-2019-9287 | A-78287084 | ID | Moderat |
| CVE-2019-9289 | A-79883824 | ID | Moderat |
| CVE-2018-9581 | A-111698366 | ID | Moderat |
| CVE-2019-9296 | A-112162089 | ID | Moderat |
| CVE-2019-9312 | A-78288018 | ID | Moderat |
| CVE-2019-9326 | A-111215173 | ID | Moderat |
| CVE-2019-9328 | A-111895000 | ID | Moderat |
| CVE-2019-9329 | A-112917952 | ID | Moderat |
| CVE-2019-9332 | A-78286500 | ID | Moderat |
| CVE-2019-9333 | A-109753657 | ID | Moderat |
| CVE-2019-9344 | A-120845341 | ID | Moderat |
| CVE-2019-9353 | A-123024201 | ID | Moderat |
| CVE-2019-9354 | A-118148142 | ID | Moderat |
| CVE-2019-9355 | A-115903122 | ID | Moderat |
| CVE-2019-9356 | A-111699773 | ID | Moderat |
| CVE-2019-9360 | A-120610663 | ID | Moderat |
| CVE-2019-9368 | A-79883568 | ID | Moderat |
| CVE-2019-9369 | A-79995407 | ID | Moderat |
| CVE-2019-9381 | A-122677612 | ID | Moderat |
| CVE-2019-9383 | A-120843827 | ID | Moderat |
| CVE-2019-9387 | A-117569833 | ID | Moderat |
| CVE-2019-9388 | A-117567437 | ID | Moderat |
| CVE-2019-9403 | A-113512324 | ID | Moderat |
| CVE-2019-9414 | A-111893041 | ID | Moderat |
| CVE-2019-9427 | A-110166350 | ID | Moderat |
| CVE-2019-9431 | A-109755179 | ID | Moderat |
| CVE-2019-9432 | A-80546108 | ID | Moderat |
| CVE-2019-9434 | A-80432895 | ID | Moderat |
| CVE-2019-9435 | A-80146682 | ID | Moderat |
| CVE-2019-9330 | A-111214739 | ID | Moderat |
| CVE-2019-9331 | A-112272279 | ID | Moderat |
| CVE-2019-9341 | A-111214770 | ID | Moderat |
| CVE-2019-9342 | A-111214470 | ID | Moderat |
| CVE-2019-9343 | A-112050983 | ID | Moderat |
| CVE-2019-9367 | A-112106425 | ID | Moderat |
| CVE-2019-9413 | A-111935831 | ID | Moderat |
| CVE-2019-9417 | A-111450079 | ID | Moderat |
| CVE-2019-9419 | A-111407544 | ID | Moderat |
| CVE-2019-9422 | A-111214766 | ID | Moderat |
| CVE-2020-0236 | A-79703353 | ID | Moderat |
| CVE-2019-9279 | A-110476382 | DoS | Moderat |
| CVE-2019-9285 | A-111215315 | DoS | Moderat |
| CVE-2019-9286 | A-111213909 | DoS | Moderat |
| CVE-2019-9311 | A-79431031 | DoS | Moderat |
| CVE-2019-9327 | A-112050583 | DoS | Moderat |
| CVE-2019-9462 | A-91544774 | DoS | Moderat |
| CVE-2019-9389 | A-117567058 | DoS | Moderat |
| CVE-2019-9390 | A-117551475 | DoS | Moderat |
| CVE-2019-9393 | A-116357965 | DoS | Moderat |
| CVE-2019-9394 | A-116351796 | DoS | Moderat |
| CVE-2019-9395 | A-116267405 | DoS | Moderat |
| CVE-2019-9396 | A-115747155 | DoS | Moderat |
| CVE-2019-9397 | A-115747410 | DoS | Moderat |
| CVE-2019-9398 | A-115745406 | DoS | Moderat |
| CVE-2019-9400 | A-115509589 | DoS | Moderat |
| CVE-2019-9401 | A-115375248 | DoS | Moderat |
| CVE-2019-9402 | A-115372550 | DoS | Moderat |
| CVE-2019-9404 | A-112923309 | DoS | Moderat |
| CVE-2019-9425 | A-110846194 | DoS | Moderat |
| CVE-2019-9430 | A-109838296 | DoS | Moderat |
Libxaac
Die libxaac-Bibliothek von Android 9 wurde im Rahmen des Android-Sicherheitsbulletins vom November 2018 als experimentell gekennzeichnet und aus den Produktions-Android-Builds entfernt. Wir möchten die Forscher für ihre Erkenntnisse würdigen.
Zu den erkannten Problemen gehören die folgenden CVE-IDs: CVE-2019-2055, CVE-2019-2059, CVE-2019-2060, CVE-2019-2061, CVE-2019-2062, CVE-2019-2063, CVE-2019-2064, CVE-2019-2065, CVE-2019-2066, CVE-2019-2067, CVE-2019-2068, CVE-2019-2069, CVE-2019-2070, CVE-2019-2071, CVE-2019-2072, CVE-2019-2073, CVE-2019-2074, CVE-2019-2075, CVE-2019-2076, CVE-2019-2077, CVE-2019-2078, CVE-2019-2079, CVE-2019-2080, CVE-2019-2081, CVE-2019-2082, CVE-2019-2083, CVE-2019-2084, CVE-2019-2085, CVE-2019-2086, CVE-2019-2087, CVE-2019-2138, CVE-2019-2139, CVE-2019-2140, CVE-2019-2141, CVE-2019-2142, CVE-2019-2143, CVE-2019-2144, CVE-2019-2145, CVE-2019-2146, CVE-2019-2147, CVE-2019-2148, CVE-2019-2149, CVE-2019-2150, CVE-2019-2151, CVE-2019-2152, CVE-2019-2153, CVE-2019-2154, CVE-2019-2155, CVE-2019-2156, CVE-2019-2157, CVE-2019-2158, CVE-2019-2159, CVE-2019-2160, CVE-2019-2161, CVE-2019-2162, CVE-2019-2163, CVE-2019-2164, CVE-2019-2165, CVE-2019-2166, CVE-2019-2167, CVE-2019-2168, CVE-2019-2169, CVE-2019-2170, CVE-2019-2171, CVE-2019-2172, CVE-2019-9261, CVE-2019-9264, CVE-2019-9385 und CVE-2019-9391.
Häufig gestellte Fragen und Antworten
In diesem Abschnitt werden häufige Fragen zu diesem Bulletin beantwortet.
1. Wie finde ich heraus, ob mein Gerät entsprechend aktualisiert wurde?
Wie Sie den Stand der Sicherheitsupdates eines Geräts prüfen, erfahren Sie im Hilfeartikel Android-Version prüfen und aktualisieren.
Android 10, wie im AOSP veröffentlicht, hat standardmäßig den Stand der Sicherheitsupdates vom 01.09.2019. Auf Android-Geräten mit Android 10 und dem Stand der Sicherheitsupdates vom 01.09.2019 oder höher sind alle Probleme behoben, die in diesen Sicherheits-Releasenotes aufgeführt sind.
2. Was bedeuten die Einträge in der Spalte Typ?
Einträge in der Spalte Typ der Tabelle mit den Details zur Sicherheitslücke verweisen auf die Klassifizierung der Sicherheitslücke.
| Abkürzung | Definition |
|---|---|
| RCE | Codeausführung per Fernzugriff |
| EoP | Rechteausweitung |
| ID | Offenlegung von Informationen |
| DoS | Denial of Service |
| – | Klassifizierung nicht verfügbar |
3. Was bedeuten die Einträge in der Spalte Referenzen?
Einträge in der Spalte Referenzen der Tabelle mit den Details zur Sicherheitslücke können ein Präfix enthalten, das die Organisation angibt, zu der der Referenzwert gehört.
| Präfix | Verweise |
|---|---|
| A- | Android-Fehler-ID |
Versionen
| Version | Datum | Hinweise |
|---|---|---|
| 1.0 | 20. August 2019 | Sicherheits-Release-Notes veröffentlicht. |
| 1,1 | 21. August 2019 | Kleinere Anpassungen an den Tabellen zu Sicherheitslücken |
| 1,9 | 17. September 2019 | Aktualisierte Bestätigungen und Problemliste |
| 1.3 | 21. November 2019 | Aktualisierte Liste der Probleme |
| 1,4 | 12. Februar 2020 | Aktualisierte Liste der Probleme |
| 1.5 | 26. Februar 2020 | Aktualisierte Liste der Probleme |
| 1,6 | 11. Mai 2020 | Aktualisierte Liste der Probleme |
| 1,7 | 11. Juni 2020 | Aktualisierte Liste der Probleme |
| 1,8 | 27. Januar 2021 | Aktualisierte Liste der Probleme |