Opublikowano 20 sierpnia 2019 r. | Zaktualizowano 27 stycznia 2021 r.
Te Uwagi o wydaniu Androida dotyczące bezpieczeństwa zawierają szczegółowe informacje o lukach w zabezpieczeniach, które wpływają na urządzenia z Androidem i które zostały załatane w Androidzie 10. Urządzenia z Androidem 10 z poziomem poprawek zabezpieczeń 2019-09-01 lub nowszym są chronione przed tymi problemami (Android 10 w wersji opublikowanej w AOSP ma domyślnie poziom poprawek zabezpieczeń 2019-09-01). Aby dowiedzieć się, jak sprawdzić poziom poprawek zabezpieczeń urządzenia, przeczytaj artykuł Jak sprawdzić i zaktualizować wersję Androida.
Partnerzy Androida są powiadamiani o wszystkich problemach przed opublikowaniem. Poprawki kodu źródłowego dotyczące tych problemów są udostępniane w repozytorium Projektu Android Open Source (AOSP) w ramach wersji Androida 10.
Ocena stopnia poważności problemów w tych informacjach o wersji opiera się na potencjalnym wpływie wykorzystania luki w zabezpieczeniach na urządzeniu, przy założeniu, że zabezpieczenia platformy i usługi są wyłączone na potrzeby programowania lub że zostały pomyślnie omijane.
Nie otrzymaliśmy żadnych zgłoszeń o aktywnej eksploatacji klientów ani o wykorzystaniu tych nowo zgłoszonych problemów. Szczegółowe informacje o zabezpieczeniach platformy Android i Google Play Protect, które zwiększają bezpieczeństwo platformy Android, znajdziesz w sekcji Zapobieganie atakom na Androida i Google Play Protect.
Ogłoszenia
- Problemy opisane w tym dokumencie zostały rozwiązane w ramach Androida 10. Te informacje są podawane w celach poglądowych i przejrzystości.
- Doceniamy i dziękujemy społeczności badaczy bezpieczeństwa za nieustanne dbanie o bezpieczeństwo ekosystemu Androida.
Środki zaradcze dotyczące usług Google i Androida
Oto podsumowanie środków zapobiegawczych oferowanych przez platformę bezpieczeństwa Androida oraz zabezpieczenia usług, takie jak Google Play Protect. Te funkcje zmniejszają prawdopodobieństwo, że luki w zabezpieczeniach zostaną wykorzystane na urządzeniach z Androidem.
- Wykorzystanie wielu luk w Androidzie jest utrudnione przez ulepszenia w nowszych wersjach platformy Android. Zachęcamy wszystkich użytkowników do zaktualizowania Androida do najnowszej wersji, o ile to możliwe.
- Zespół ds. bezpieczeństwa Androida aktywnie monitoruje nadużycia za pomocą Google Play Protect i ostrzega użytkowników o potencjalnie szkodliwych aplikacjach. Google Play Protect jest domyślnie włączona na urządzeniach z Usługami mobilnymi Google. Jest szczególnie ważna dla użytkowników, którzy instalują aplikacje spoza Google Play.
Android 10 – szczegóły luki w zabezpieczeniach
W sekcjach poniżej znajdziesz informacje o lukach w zabezpieczeniach, które zostały załatane w ramach Androida 10. Luki w zabezpieczeniach są grupowane według komponentu, którego dotyczą. Zawierają informacje takie jak CVE, powiązane odniesienia, typ luki i poważność.
Środowisko wykonawcze Androida
| CVE | Pliki referencyjne | Typ | Poziom |
|---|---|---|---|
| CVE-2019-9290 | A-113039724 | EoP | Umiarkowana |
| CVE-2019-9429 | A-110035108 | EoP | Umiarkowana |
Platforma
| CVE | Pliki referencyjne | Typ | Poziom |
|---|---|---|---|
| CVE-2019-9262 | A-111792351 | RCE | Umiarkowana |
| CVE-2019-9256 | A-111921829 | RCE | Umiarkowana |
| CVE-2019-9280 | A-119322269 | EoP | Umiarkowana |
| CVE-2019-2216 | A-38390530 | EoP | Umiarkowana |
| CVE-2019-2089 | A-116608833 | EoP | Umiarkowana |
| CVE-2019-9288 | A-111363077 | EoP | Umiarkowana |
| CVE-2019-9384 | A-120568007 | EoP | Umiarkowana |
| CVE-2019-9269 | A-36899497 | EoP | Umiarkowana |
| CVE-2019-9378 | A-124539196 | EoP | Umiarkowana |
| CVE-2019-9380 | A-123700098 | EoP | Umiarkowana |
| CVE-2019-9407 | A-112434609 | EoP | Umiarkowana |
| CVE-2019-2088 | A-143895055 | ID | Umiarkowana |
| CVE-2019-2058 | A-136089102 | ID | Umiarkowana |
| CVE-2019-9351 | A-128599864 | ID | Umiarkowana |
| CVE-2019-9281 | A-32748076 | ID | Umiarkowana |
| CVE-2019-9377 | A-128599663 | ID | Umiarkowana |
| CVE-2019-9292 | A-115384617 | ID | Umiarkowana |
| CVE-2019-9424 | A-110941092 | ID | Umiarkowana |
| CVE-2019-9399 | A-115635664 | ID | Umiarkowana |
| CVE-2019-9421 | A-111215250 | ID | Umiarkowana |
| CVE-2019-9323 | A-30770233 | ID | Umiarkowana |
| CVE-2019-9438 | A-77821568 | ID | Umiarkowana |
| CVE-2019-9373 | A-130173029 | DoS | Umiarkowana |
| CVE-2019-9372 | A-132782448 | DoS | Umiarkowana |
Biblioteka
| CVE | Pliki referencyjne | Typ | Poziom |
|---|---|---|---|
| CVE-2019-9423 | A-110986616 | EoP | Umiarkowana |
| CVE-2019-9459 | A-79593569 | EoP | Umiarkowana |
Platforma mediów
| CVE | Pliki referencyjne | Typ | Poziom |
|---|---|---|---|
| CVE-2019-9297 | A-112890242 | RCE | Umiarkowana |
| CVE-2019-9298 | A-112892194 | RCE | Umiarkowana |
| CVE-2019-9299 | A-112663886 | RCE | Umiarkowana |
| CVE-2019-9300 | A-112661610 | RCE | Umiarkowana |
| CVE-2019-9301 | A-112663384 | RCE | Umiarkowana |
| CVE-2019-9302 | A-112661356 | RCE | Umiarkowana |
| CVE-2019-9303 | A-112661057 | RCE | Umiarkowana |
| CVE-2019-9304 | A-112662270 | RCE | Umiarkowana |
| CVE-2019-9305 | A-112661835 | RCE | Umiarkowana |
| CVE-2019-9306 | A-112661348 | RCE | Umiarkowana |
| CVE-2019-9307 | A-112661893 | RCE | Umiarkowana |
| CVE-2019-9308 | A-112661742 | RCE | Umiarkowana |
| CVE-2019-9346 | A-128433933 | RCE | Umiarkowana |
| CVE-2019-9357 | A-112662995 | RCE | Umiarkowana |
| CVE-2019-9382 | A-120874654 | RCE | Umiarkowana |
| CVE-2019-9405 | A-112890225 | RCE | Umiarkowana |
| CVE-2019-9278 | A-112537774 | RCE | Umiarkowana |
| CVE-2020-0086 | A-131859347 | EoP | Umiarkowana |
| CVE-2019-9310 | A-112891546 | EoP | Umiarkowana |
| CVE-2019-9232 | A-122675483 | ID | Umiarkowana |
| CVE-2019-9247 | A-120426166 | ID | Umiarkowana |
| CVE-2019-9282 | A-113211371 | ID | Umiarkowana |
| CVE-2019-9293 | A-117661116 | ID | Umiarkowana |
| CVE-2019-9294 | A-111764444 | ID | Umiarkowana |
| CVE-2019-9313 | A-112005441 | ID | Umiarkowana |
| CVE-2019-9314 | A-112329563 | ID | Umiarkowana |
| CVE-2019-9315 | A-112326216 | ID | Umiarkowana |
| CVE-2019-9316 | A-112052432 | ID | Umiarkowana |
| CVE-2019-9317 | A-112052258 | ID | Umiarkowana |
| CVE-2019-9318 | A-111764725 | ID | Umiarkowana |
| CVE-2019-9319 | A-111762100 | ID | Umiarkowana |
| CVE-2019-9320 | A-111761624 | ID | Umiarkowana |
| CVE-2019-9321 | A-111208713 | ID | Umiarkowana |
| CVE-2019-9322 | A-111128067 | ID | Umiarkowana |
| CVE-2019-9325 | A-112001302 | ID | Umiarkowana |
| CVE-2019-9334 | A-112859934 | ID | Umiarkowana |
| CVE-2019-9335 | A-112328051 | ID | Umiarkowana |
| CVE-2019-9336 | A-112326322 | ID | Umiarkowana |
| CVE-2019-9337 | A-112204376 | ID | Umiarkowana |
| CVE-2019-9338 | A-111762686 | ID | Umiarkowana |
| CVE-2019-9347 | A-109891727 | ID | Umiarkowana |
| CVE-2019-9359 | A-111407302 | ID | Umiarkowana |
| CVE-2019-9361 | A-111762807 | ID | Umiarkowana |
| CVE-2019-9362 | A-120426980 | ID | Umiarkowana |
| CVE-2019-9364 | A-73364631 | ID | Umiarkowana |
| CVE-2019-9366 | A-112052062 | ID | Umiarkowana |
| CVE-2019-9370 | A-133880046 | ID | Umiarkowana |
| CVE-2019-9406 | A-112552517 | ID | Umiarkowana |
| CVE-2019-9408 | A-112380157 | ID | Umiarkowana |
| CVE-2019-9409 | A-112272091 | ID | Umiarkowana |
| CVE-2019-9410 | A-112204443 | ID | Umiarkowana |
| CVE-2019-9411 | A-112204845 | ID | Umiarkowana |
| CVE-2019-9412 | A-112006096 | ID | Umiarkowana |
| CVE-2019-9415 | A-111805098 | ID | Umiarkowana |
| CVE-2019-9416 | A-111804142 | ID | Umiarkowana |
| CVE-2019-9433 | A-80479354 | ID | Umiarkowana |
| CVE-2019-9252 | A-73339042 | ID | Umiarkowana |
| CVE-2019-9268 | A-77474014 | DoS | Umiarkowana |
| CVE-2020-0088 | A-124389881 | DoS | Umiarkowana |
| CVE-2019-9283 | A-112663564 | DoS | Umiarkowana |
| CVE-2019-9348 | A-128431761 | DoS | Umiarkowana |
| CVE-2019-9349 | A-124330204 | DoS | Umiarkowana |
| CVE-2019-9352 | A-124253062 | DoS | Umiarkowana |
| CVE-2019-9371 | A-132783254 | DoS | Umiarkowana |
| CVE-2019-9379 | A-124329638 | DoS | Umiarkowana |
| CVE-2019-9418 | A-111450210 | DoS | Umiarkowana |
| CVE-2019-9420 | A-111272481 | DoS | Umiarkowana |
System
| CVE | Pliki referencyjne | Typ | Poziom |
|---|---|---|---|
| CVE-2019-9475 | A-9496886 | ID | Wysoki |
| CVE-2019-9363 | A-123584306 | RCE | Umiarkowana |
| CVE-2019-9365 | A-109838537 | RCE | Umiarkowana |
| CVE-2018-9425 | A-73884967 | EoP | Umiarkowana |
| CVE-2019-9463 | A-113584607 | EoP | Umiarkowana |
| CVE-2019-9291 | A-112159179 | EoP | Umiarkowana |
| CVE-2019-9386 | A-122361874 | EoP | Umiarkowana |
| CVE-2019-9375 | A-129344244 | EoP | Umiarkowana |
| CVE-2019-9238 | A-121267042 | EoP | Umiarkowana |
| CVE-2019-9257 | A-113572342 | EoP | Umiarkowana |
| CVE-2019-9258 | A-113655028 | EoP | Umiarkowana |
| CVE-2019-9259 | A-113575306 | EoP | Umiarkowana |
| CVE-2019-9263 | A-73136824 | EoP | Umiarkowana |
| CVE-2019-9266 | A-119501435 | EoP | Umiarkowana |
| CVE-2019-9295 | A-36885811 | EoP | Umiarkowana |
| CVE-2019-9309 | A-117985575 | EoP | Umiarkowana |
| CVE-2019-9350 | A-129562815 | EoP | Umiarkowana |
| CVE-2019-9358 | A-120156401 | EoP | Umiarkowana |
| CVE-2018-9489 | A-77286245 | ID | Umiarkowana |
| CVE-2019-9473 | A-115363533 | ID | Umiarkowana |
| CVE-2019-9474 | A-79996267 | ID | Umiarkowana |
| CVE-2019-9440 | A-37637796 | ID | Umiarkowana |
| CVE-2019-9277 | A-68016944 | ID | Umiarkowana |
| CVE-2019-9233 | A-122529021 | ID | Umiarkowana |
| CVE-2019-9234 | A-122465453 | ID | Umiarkowana |
| CVE-2019-9235 | A-122323053 | ID | Umiarkowana |
| CVE-2019-9236 | A-122322613 | ID | Umiarkowana |
| CVE-2019-9237 | A-121325979 | ID | Umiarkowana |
| CVE-2019-9239 | A-121263487 | ID | Umiarkowana |
| CVE-2019-9240 | A-121150966 | ID | Umiarkowana |
| CVE-2019-9241 | A-121036603 | ID | Umiarkowana |
| CVE-2019-9242 | A-121035878 | ID | Umiarkowana |
| CVE-2019-9243 | A-120905706 | ID | Umiarkowana |
| CVE-2019-9244 | A-120865977 | ID | Umiarkowana |
| CVE-2019-9246 | A-120428637 | ID | Umiarkowana |
| CVE-2019-9249 | A-120255805 | ID | Umiarkowana |
| CVE-2019-9250 | A-120276962 | ID | Umiarkowana |
| CVE-2019-9251 | A-120274615 | ID | Umiarkowana |
| CVE-2019-9253 | A-109769728 | ID | Umiarkowana |
| CVE-2019-9260 | A-113495295 | ID | Umiarkowana |
| CVE-2019-9265 | A-37994606 | ID | Umiarkowana |
| CVE-2019-9272 | A-11596047 | ID | Umiarkowana |
| CVE-2019-9284 | A-111850706 | ID | Umiarkowana |
| CVE-2019-9287 | A-78287084 | ID | Umiarkowana |
| CVE-2019-9289 | A-79883824 | ID | Umiarkowana |
| CVE-2018-9581 | A-111698366 | ID | Umiarkowana |
| CVE-2019-9296 | A-112162089 | ID | Umiarkowana |
| CVE-2019-9312 | A-78288018 | ID | Umiarkowana |
| CVE-2019-9326 | A-111215173 | ID | Umiarkowana |
| CVE-2019-9328 | A-111895000 | ID | Umiarkowana |
| CVE-2019-9329 | A-112917952 | ID | Umiarkowana |
| CVE-2019-9332 | A-78286500 | ID | Umiarkowana |
| CVE-2019-9333 | A-109753657 | ID | Umiarkowana |
| CVE-2019-9344 | A-120845341 | ID | Umiarkowana |
| CVE-2019-9353 | A-123024201 | ID | Umiarkowana |
| CVE-2019-9354 | A-118148142 | ID | Umiarkowana |
| CVE-2019-9355 | A-115903122 | ID | Umiarkowana |
| CVE-2019-9356 | A-111699773 | ID | Umiarkowana |
| CVE-2019-9360 | A-120610663 | ID | Umiarkowana |
| CVE-2019-9368 | A-79883568 | ID | Umiarkowana |
| CVE-2019-9369 | A-79995407 | ID | Umiarkowana |
| CVE-2019-9381 | A-122677612 | ID | Umiarkowana |
| CVE-2019-9383 | A-120843827 | ID | Umiarkowana |
| CVE-2019-9387 | A-117569833 | ID | Umiarkowana |
| CVE-2019-9388 | A-117567437 | ID | Umiarkowana |
| CVE-2019-9403 | A-113512324 | ID | Umiarkowana |
| CVE-2019-9414 | A-111893041 | ID | Umiarkowana |
| CVE-2019-9427 | A-110166350 | ID | Umiarkowana |
| CVE-2019-9431 | A-109755179 | ID | Umiarkowana |
| CVE-2019-9432 | A-80546108 | ID | Umiarkowana |
| CVE-2019-9434 | A-80432895 | ID | Umiarkowana |
| CVE-2019-9435 | A-80146682 | ID | Umiarkowana |
| CVE-2019-9330 | A-111214739 | ID | Umiarkowana |
| CVE-2019-9331 | A-112272279 | ID | Umiarkowana |
| CVE-2019-9341 | A-111214770 | ID | Umiarkowana |
| CVE-2019-9342 | A-111214470 | ID | Umiarkowana |
| CVE-2019-9343 | A-112050983 | ID | Umiarkowana |
| CVE-2019-9367 | A-112106425 | ID | Umiarkowana |
| CVE-2019-9413 | A-111935831 | ID | Umiarkowana |
| CVE-2019-9417 | A-111450079 | ID | Umiarkowana |
| CVE-2019-9419 | A-111407544 | ID | Umiarkowana |
| CVE-2019-9422 | A-111214766 | ID | Umiarkowana |
| CVE-2020-0236 | A-79703353 | ID | Umiarkowana |
| CVE-2019-9279 | A-110476382 | DoS | Umiarkowana |
| CVE-2019-9285 | A-111215315 | DoS | Umiarkowana |
| CVE-2019-9286 | A-111213909 | DoS | Umiarkowana |
| CVE-2019-9311 | A-79431031 | DoS | Umiarkowana |
| CVE-2019-9327 | A-112050583 | DoS | Umiarkowana |
| CVE-2019-9462 | A-91544774 | DoS | Umiarkowana |
| CVE-2019-9389 | A-117567058 | DoS | Umiarkowana |
| CVE-2019-9390 | A-117551475 | DoS | Umiarkowana |
| CVE-2019-9393 | A-116357965 | DoS | Umiarkowana |
| CVE-2019-9394 | A-116351796 | DoS | Umiarkowana |
| CVE-2019-9395 | A-116267405 | DoS | Umiarkowana |
| CVE-2019-9396 | A-115747155 | DoS | Umiarkowana |
| CVE-2019-9397 | A-115747410 | DoS | Umiarkowana |
| CVE-2019-9398 | A-115745406 | DoS | Umiarkowana |
| CVE-2019-9400 | A-115509589 | DoS | Umiarkowana |
| CVE-2019-9401 | A-115375248 | DoS | Umiarkowana |
| CVE-2019-9402 | A-115372550 | DoS | Umiarkowana |
| CVE-2019-9404 | A-112923309 | DoS | Umiarkowana |
| CVE-2019-9425 | A-110846194 | DoS | Umiarkowana |
| CVE-2019-9430 | A-109838296 | DoS | Umiarkowana |
Libxaac
Biblioteka libxaac w Androidzie 9 została oznaczona jako eksperymentalna i wyłączona z produkcyjnych wersji Androida w ramach Biuletynu bezpieczeństwa w Androidzie z listopada 2018 r. Dziękujemy badaczom za ich odkrycia.
Zidentyfikowane problemy obejmują te identyfikatory CVE: CVE-2019-2055, CVE-2019-2059, CVE-2019-2060, CVE-2019-2061, CVE-2019-2062, CVE-2019-2063, CVE-2019-2064, CVE-2019-2065, CVE-2019-2066, CVE-2019-2067, CVE-2019-2068, CVE-2019-2070, CVE-2019-2071, CVE-2019-2072, CVE-2019-2073, CVE-2019-2074, CVE-2019-2075, CVE-2019-2076, CVE-2019-2077, CVE-2019-2078, CVE-2019-2079, CVE-2019-2080, CVE-2019-2081, CVE-2019-2082, CVE-2019-2083, CVE-2019-2084, CVE-2019-2085, CVE-2019-2086, CVE-2019-2087, CVE-2019-2138, CVE-2019-2139, CVE-2019-2140, CVE-2019-2141, CVE-2019-2142, CVE-2019-2143, CVE-2019-2144, CVE-2019-2145, CVE-2019-2146, CVE-2019-2147, CVE-2019-2148, CVE-2019-2149, CVE-2019-2150, CVE-2019-2151, CVE-2019-2152, CVE-2019-2153, CVE-2019-2154, CVE-2019-2155, CVE-2019-2156, CVE-2019-2157, CVE-2019-2158, CVE-2019-2159, CVE-2019-2160, CVE-2019-2161, CVE-2019-2162, CVE-2019-2163, CVE-2019-2164, CVE-2019-2165, CVE-2019-2166, CVE-2019-2167, CVE-2019-9261, CVE-2019-9264, CVE-2019-9385, CVE-2019-9391.
Najczęstsze pytania i odpowiedzi
W tej sekcji znajdziesz odpowiedzi na najczęstsze pytania, które mogą pojawić się po przeczytaniu tego biuletynu.
1. Jak sprawdzić, czy moje urządzenie jest zaktualizowane i czy rozwiązuje te problemy?
Aby dowiedzieć się, jak sprawdzić poziom zabezpieczeń urządzenia, przeczytaj artykuł Sprawdzanie i aktualizowanie wersji Androida.
Android 10, zgodnie z wersją udostępnioną w AOSP, ma domyślny stan aktualizacji zabezpieczeń 2019-09-01. Urządzenia z Androidem 10 z poziomem poprawki zabezpieczeń 2019-09-01 lub nowszym rozwiązują wszystkie problemy opisane w tych informacjach o wydaniu dotyczących zabezpieczeń.
2. Co oznaczają wpisy w kolumnie Typ?
Wpisy w kolumnie Typ w tabeli szczegółów luki w zabezpieczeniach odnoszą się do klasyfikacji luki w zabezpieczeniach.
| Skrót | Definicja |
|---|---|
| RCE | Zdalne wykonywanie kodu |
| EoP | Podniesienie uprawnień |
| ID | Ujawnianie informacji |
| DoS | Atak typu DoS |
| Nie dotyczy | Klasyfikacja niedostępna |
3. Co oznaczają wpisy w kolumnie Odwołania?
Wpisy w kolumnie Odwołania w tabeli szczegółów podatności mogą zawierać prefiks identyfikujący organizację, do której należy wartość odwołania.
| Prefiks | Źródła wiedzy |
|---|---|
| A- | Identyfikator błędu na Androidzie |
Wersje
| Wersja | Data | Uwagi |
|---|---|---|
| 1,0 | 20 sierpnia 2019 r. | opublikowano informacje o wersji dotyczące zabezpieczeń; |
| 1,1 | 21 sierpnia 2019 r. | Niewielkie zmiany w tabelach luk w zabezpieczeniach |
| 1,2 | 17 września 2019 r. | Zaktualizowane potwierdzenia i lista problemów |
| 1.3 | 21 listopada 2019 r. | Zaktualizowana lista problemów |
| 1,4 | 12 lutego 2020 r. | Zaktualizowana lista problemów |
| 1,5 | 26 lutego 2020 r. | Zaktualizowana lista problemów |
| 1,6 | 11 maja 2020 r. | Zaktualizowana lista problemów |
| 1.7 | 11 czerwca 2020 r. | Zaktualizowana lista problemów |
| 1,8 | 27 stycznia 2021 r. | Zaktualizowana lista problemów |