Opublikowano 20 sierpnia 2019 | Zaktualizowano 27 stycznia 2021 r
Niniejsza informacja o wydaniu zabezpieczeń systemu Android zawiera szczegółowe informacje na temat luk w zabezpieczeniach urządzeń z systemem Android, które są usuwane w ramach systemu Android 10. Urządzenia z systemem Android 10 z poprawką zabezpieczeń na poziomie 2019-09-01 lub nowszym są chronione przed tymi problemami (Android 10 w wersji wydanej dnia AOSP ma domyślny poziom poprawki zabezpieczeń 2019-09-01). Aby dowiedzieć się, jak sprawdzić poziom poprawek zabezpieczeń urządzenia, zobacz Jak sprawdzić i zaktualizować wersję Androida .
Partnerzy Androida są powiadamiani o wszystkich problemach przed publikacją. Poprawki kodu źródłowego rozwiązujące te problemy zostaną udostępnione w repozytorium Android Open Source Project (AOSP) w ramach wersji Androida 10.
Ocena ważności problemów opisana w niniejszych informacjach o wersji opiera się na możliwym wpływie wykorzystania luki na urządzenie, którego dotyczy luka, przy założeniu, że zabezpieczenia platformy i usług zostaną wyłączone na potrzeby programowania lub jeśli uda się je obejść.
Nie otrzymaliśmy żadnych raportów o aktywnym wykorzystywaniu klientów lub nadużyciach w związku z nowo zgłoszonymi problemami. Szczegółowe informacje na temat zabezpieczeń platformy zabezpieczeń Androida i Google Play Protect , które poprawiają bezpieczeństwo platformy Android , można znaleźć w sekcji Środki zaradcze dotyczące systemów Android i Google Play Protect.
Ogłoszenia
- Problemy opisane w tym dokumencie rozwiązano w ramach systemu Android 10. Informacje te podano w celach informacyjnych i przejrzystości.
- Chcielibyśmy wyrazić uznanie i podziękować społeczności zajmującej się badaniami nad bezpieczeństwem za jej ciągły wkład w zabezpieczanie ekosystemu Androida.
Ograniczenia dotyczące usług Android i Google
To jest podsumowanie środków zaradczych zapewnianych przez platformę bezpieczeństwa Androida i zabezpieczenia usług, takie jak Google Play Protect . Funkcje te zmniejszają prawdopodobieństwo skutecznego wykorzystania luk w zabezpieczeniach systemu Android.
- Eksploatację wielu problemów na Androidzie utrudniają ulepszenia w nowszych wersjach platformy Android. Zachęcamy wszystkich użytkowników, jeśli to możliwe, do aktualizacji do najnowszej wersji Androida.
- Zespół ds. bezpieczeństwa Androida aktywnie monitoruje nadużycia za pośrednictwem Google Play Protect i ostrzega użytkowników przed potencjalnie szkodliwymi aplikacjami . Usługa Google Play Protect jest domyślnie włączona na urządzeniach z Usługami mobilnymi Google i jest szczególnie ważna dla użytkowników instalujących aplikacje spoza Google Play.
Android 10 — szczegóły luki w zabezpieczeniach
Poniższe sekcje zawierają szczegółowe informacje na temat luk w zabezpieczeniach naprawionych w systemie Android 10. Luki są pogrupowane według komponentu, na który wpływają, i zawierają szczegółowe informacje, takie jak CVE, powiązane odniesienia, typ luki i ważność .
Środowisko wykonawcze Androida
| CVE | Bibliografia | Typ | Powaga |
|---|---|---|---|
| CVE-2019-9290 | A-113039724 | EoP | Umiarkowany |
| CVE-2019-9429 | A-110035108 | EoP | Umiarkowany |
Struktura
| CVE | Bibliografia | Typ | Powaga |
|---|---|---|---|
| CVE-2019-9262 | A-111792351 | RCE | Umiarkowany |
| CVE-2019-9256 | A-111921829 | RCE | Umiarkowany |
| CVE-2019-9280 | A-119322269 | EoP | Umiarkowany |
| CVE-2019-2216 | A-38390530 | EoP | Umiarkowany |
| CVE-2019-2089 | A-116608833 | EoP | Umiarkowany |
| CVE-2019-9288 | A-111363077 | EoP | Umiarkowany |
| CVE-2019-9384 | A-120568007 | EoP | Umiarkowany |
| CVE-2019-9269 | A-36899497 | EoP | Umiarkowany |
| CVE-2019-9378 | A-124539196 | EoP | Umiarkowany |
| CVE-2019-9380 | A-123700098 | EoP | Umiarkowany |
| CVE-2019-9407 | A-112434609 | EoP | Umiarkowany |
| CVE-2019-2088 | A-143895055 | ID | Umiarkowany |
| CVE-2019-2058 | A-136089102 | ID | Umiarkowany |
| CVE-2019-9351 | A-128599864 | ID | Umiarkowany |
| CVE-2019-9281 | A-32748076 | ID | Umiarkowany |
| CVE-2019-9377 | A-128599663 | ID | Umiarkowany |
| CVE-2019-9292 | A-115384617 | ID | Umiarkowany |
| CVE-2019-9424 | A-110941092 | ID | Umiarkowany |
| CVE-2019-9399 | A-115635664 | ID | Umiarkowany |
| CVE-2019-9421 | A-111215250 | ID | Umiarkowany |
| CVE-2019-9323 | A-30770233 | ID | Umiarkowany |
| CVE-2019-9438 | A-77821568 | ID | Umiarkowany |
| CVE-2019-9373 | A-130173029 | DoS | Umiarkowany |
| CVE-2019-9372 | A-132782448 | DoS | Umiarkowany |
Biblioteka
| CVE | Bibliografia | Typ | Powaga |
|---|---|---|---|
| CVE-2019-9423 | A-110986616 | EoP | Umiarkowany |
| CVE-2019-9459 | A-79593569 | EoP | Umiarkowany |
Ramy medialne
| CVE | Bibliografia | Typ | Powaga |
|---|---|---|---|
| CVE-2019-9297 | A-112890242 | RCE | Umiarkowany |
| CVE-2019-9298 | A-112892194 | RCE | Umiarkowany |
| CVE-2019-9299 | A-112663886 | RCE | Umiarkowany |
| CVE-2019-9300 | A-112661610 | RCE | Umiarkowany |
| CVE-2019-9301 | A-112663384 | RCE | Umiarkowany |
| CVE-2019-9302 | A-112661356 | RCE | Umiarkowany |
| CVE-2019-9303 | A-112661057 | RCE | Umiarkowany |
| CVE-2019-9304 | A-112662270 | RCE | Umiarkowany |
| CVE-2019-9305 | A-112661835 | RCE | Umiarkowany |
| CVE-2019-9306 | A-112661348 | RCE | Umiarkowany |
| CVE-2019-9307 | A-112661893 | RCE | Umiarkowany |
| CVE-2019-9308 | A-112661742 | RCE | Umiarkowany |
| CVE-2019-9346 | A-128433933 | RCE | Umiarkowany |
| CVE-2019-9357 | A-112662995 | RCE | Umiarkowany |
| CVE-2019-9382 | A-120874654 | RCE | Umiarkowany |
| CVE-2019-9405 | A-112890225 | RCE | Umiarkowany |
| CVE-2019-9278 | A-112537774 | RCE | Umiarkowany |
| CVE-2020-0086 | A-131859347 | EoP | Umiarkowany |
| CVE-2019-9310 | A-112891546 | EoP | Umiarkowany |
| CVE-2019-9232 | A-122675483 | ID | Umiarkowany |
| CVE-2019-9247 | A-120426166 | ID | Umiarkowany |
| CVE-2019-9282 | A-113211371 | ID | Umiarkowany |
| CVE-2019-9293 | A-117661116 | ID | Umiarkowany |
| CVE-2019-9294 | A-111764444 | ID | Umiarkowany |
| CVE-2019-9313 | A-112005441 | ID | Umiarkowany |
| CVE-2019-9314 | A-112329563 | ID | Umiarkowany |
| CVE-2019-9315 | A-112326216 | ID | Umiarkowany |
| CVE-2019-9316 | A-112052432 | ID | Umiarkowany |
| CVE-2019-9317 | A-112052258 | ID | Umiarkowany |
| CVE-2019-9318 | A-111764725 | ID | Umiarkowany |
| CVE-2019-9319 | A-111762100 | ID | Umiarkowany |
| CVE-2019-9320 | A-111761624 | ID | Umiarkowany |
| CVE-2019-9321 | A-111208713 | ID | Umiarkowany |
| CVE-2019-9322 | A-111128067 | ID | Umiarkowany |
| CVE-2019-9325 | A-112001302 | ID | Umiarkowany |
| CVE-2019-9334 | A-112859934 | ID | Umiarkowany |
| CVE-2019-9335 | A-112328051 | ID | Umiarkowany |
| CVE-2019-9336 | A-112326322 | ID | Umiarkowany |
| CVE-2019-9337 | A-112204376 | ID | Umiarkowany |
| CVE-2019-9338 | A-111762686 | ID | Umiarkowany |
| CVE-2019-9347 | A-109891727 | ID | Umiarkowany |
| CVE-2019-9359 | A-111407302 | ID | Umiarkowany |
| CVE-2019-9361 | A-111762807 | ID | Umiarkowany |
| CVE-2019-9362 | A-120426980 | ID | Umiarkowany |
| CVE-2019-9364 | A-73364631 | ID | Umiarkowany |
| CVE-2019-9366 | A-112052062 | ID | Umiarkowany |
| CVE-2019-9370 | A-133880046 | ID | Umiarkowany |
| CVE-2019-9406 | A-112552517 | ID | Umiarkowany |
| CVE-2019-9408 | A-112380157 | ID | Umiarkowany |
| CVE-2019-9409 | A-112272091 | ID | Umiarkowany |
| CVE-2019-9410 | A-112204443 | ID | Umiarkowany |
| CVE-2019-9411 | A-112204845 | ID | Umiarkowany |
| CVE-2019-9412 | A-112006096 | ID | Umiarkowany |
| CVE-2019-9415 | A-111805098 | ID | Umiarkowany |
| CVE-2019-9416 | A-111804142 | ID | Umiarkowany |
| CVE-2019-9433 | A-80479354 | ID | Umiarkowany |
| CVE-2019-9252 | A-73339042 | ID | Umiarkowany |
| CVE-2019-9268 | A-77474014 | DoS | Umiarkowany |
| CVE-2020-0088 | A-124389881 | DoS | Umiarkowany |
| CVE-2019-9283 | A-112663564 | DoS | Umiarkowany |
| CVE-2019-9348 | A-128431761 | DoS | Umiarkowany |
| CVE-2019-9349 | A-124330204 | DoS | Umiarkowany |
| CVE-2019-9352 | A-124253062 | DoS | Umiarkowany |
| CVE-2019-9371 | A-132783254 | DoS | Umiarkowany |
| CVE-2019-9379 | A-124329638 | DoS | Umiarkowany |
| CVE-2019-9418 | A-111450210 | DoS | Umiarkowany |
| CVE-2019-9420 | A-111272481 | DoS | Umiarkowany |
System
| CVE | Bibliografia | Typ | Powaga |
|---|---|---|---|
| CVE-2019-9475 | A-9496886 | ID | Wysoki |
| CVE-2019-9363 | A-123584306 | RCE | Umiarkowany |
| CVE-2019-9365 | A-109838537 | RCE | Umiarkowany |
| CVE-2018-9425 | A-73884967 | EoP | Umiarkowany |
| CVE-2019-9463 | A-113584607 | EoP | Umiarkowany |
| CVE-2019-9291 | A-112159179 | EoP | Umiarkowany |
| CVE-2019-9386 | A-122361874 | EoP | Umiarkowany |
| CVE-2019-9375 | A-129344244 | EoP | Umiarkowany |
| CVE-2019-9238 | A-121267042 | EoP | Umiarkowany |
| CVE-2019-9257 | A-113572342 | EoP | Umiarkowany |
| CVE-2019-9258 | A-113655028 | EoP | Umiarkowany |
| CVE-2019-9259 | A-113575306 | EoP | Umiarkowany |
| CVE-2019-9263 | A-73136824 | EoP | Umiarkowany |
| CVE-2019-9266 | A-119501435 | EoP | Umiarkowany |
| CVE-2019-9295 | A-36885811 | EoP | Umiarkowany |
| CVE-2019-9309 | A-117985575 | EoP | Umiarkowany |
| CVE-2019-9350 | A-129562815 | EoP | Umiarkowany |
| CVE-2019-9358 | A-120156401 | EoP | Umiarkowany |
| CVE-2018-9489 | A-77286245 | ID | Umiarkowany |
| CVE-2019-9473 | A-115363533 | ID | Umiarkowany |
| CVE-2019-9474 | A-79996267 | ID | Umiarkowany |
| CVE-2019-9440 | A-37637796 | ID | Umiarkowany |
| CVE-2019-9277 | A-68016944 | ID | Umiarkowany |
| CVE-2019-9233 | A-122529021 | ID | Umiarkowany |
| CVE-2019-9234 | A-122465453 | ID | Umiarkowany |
| CVE-2019-9235 | A-122323053 | ID | Umiarkowany |
| CVE-2019-9236 | A-122322613 | ID | Umiarkowany |
| CVE-2019-9237 | A-121325979 | ID | Umiarkowany |
| CVE-2019-9239 | A-121263487 | ID | Umiarkowany |
| CVE-2019-9240 | A-121150966 | ID | Umiarkowany |
| CVE-2019-9241 | A-121036603 | ID | Umiarkowany |
| CVE-2019-9242 | A-121035878 | ID | Umiarkowany |
| CVE-2019-9243 | A-120905706 | ID | Umiarkowany |
| CVE-2019-9244 | A-120865977 | ID | Umiarkowany |
| CVE-2019-9246 | A-120428637 | ID | Umiarkowany |
| CVE-2019-9249 | A-120255805 | ID | Umiarkowany |
| CVE-2019-9250 | A-120276962 | ID | Umiarkowany |
| CVE-2019-9251 | A-120274615 | ID | Umiarkowany |
| CVE-2019-9253 | A-109769728 | ID | Umiarkowany |
| CVE-2019-9260 | A-113495295 | ID | Umiarkowany |
| CVE-2019-9265 | A-37994606 | ID | Umiarkowany |
| CVE-2019-9272 | A-11596047 | ID | Umiarkowany |
| CVE-2019-9284 | A-111850706 | ID | Umiarkowany |
| CVE-2019-9287 | A-78287084 | ID | Umiarkowany |
| CVE-2019-9289 | A-79883824 | ID | Umiarkowany |
| CVE-2018-9581 | A-111698366 | ID | Umiarkowany |
| CVE-2019-9296 | A-112162089 | ID | Umiarkowany |
| CVE-2019-9312 | A-78288018 | ID | Umiarkowany |
| CVE-2019-9326 | A-111215173 | ID | Umiarkowany |
| CVE-2019-9328 | A-111895000 | ID | Umiarkowany |
| CVE-2019-9329 | A-112917952 | ID | Umiarkowany |
| CVE-2019-9332 | A-78286500 | ID | Umiarkowany |
| CVE-2019-9333 | A-109753657 | ID | Umiarkowany |
| CVE-2019-9344 | A-120845341 | ID | Umiarkowany |
| CVE-2019-9353 | A-123024201 | ID | Umiarkowany |
| CVE-2019-9354 | A-118148142 | ID | Umiarkowany |
| CVE-2019-9355 | A-115903122 | ID | Umiarkowany |
| CVE-2019-9356 | A-111699773 | ID | Umiarkowany |
| CVE-2019-9360 | A-120610663 | ID | Umiarkowany |
| CVE-2019-9368 | A-79883568 | ID | Umiarkowany |
| CVE-2019-9369 | A-79995407 | ID | Umiarkowany |
| CVE-2019-9381 | A-122677612 | ID | Umiarkowany |
| CVE-2019-9383 | A-120843827 | ID | Umiarkowany |
| CVE-2019-9387 | A-117569833 | ID | Umiarkowany |
| CVE-2019-9388 | A-117567437 | ID | Umiarkowany |
| CVE-2019-9403 | A-113512324 | ID | Umiarkowany |
| CVE-2019-9414 | A-111893041 | ID | Umiarkowany |
| CVE-2019-9427 | A-110166350 | ID | Umiarkowany |
| CVE-2019-9431 | A-109755179 | ID | Umiarkowany |
| CVE-2019-9432 | A-80546108 | ID | Umiarkowany |
| CVE-2019-9434 | A-80432895 | ID | Umiarkowany |
| CVE-2019-9435 | A-80146682 | ID | Umiarkowany |
| CVE-2019-9330 | A-111214739 | ID | Umiarkowany |
| CVE-2019-9331 | A-112272279 | ID | Umiarkowany |
| CVE-2019-9341 | A-111214770 | ID | Umiarkowany |
| CVE-2019-9342 | A-111214470 | ID | Umiarkowany |
| CVE-2019-9343 | A-112050983 | ID | Umiarkowany |
| CVE-2019-9367 | A-112106425 | ID | Umiarkowany |
| CVE-2019-9413 | A-111935831 | ID | Umiarkowany |
| CVE-2019-9417 | A-111450079 | ID | Umiarkowany |
| CVE-2019-9419 | A-111407544 | ID | Umiarkowany |
| CVE-2019-9422 | A-111214766 | ID | Umiarkowany |
| CVE-2020-0236 | A-79703353 | ID | Umiarkowany |
| CVE-2019-9279 | A-110476382 | DoS | Umiarkowany |
| CVE-2019-9285 | A-111215315 | DoS | Umiarkowany |
| CVE-2019-9286 | A-111213909 | DoS | Umiarkowany |
| CVE-2019-9311 | A-79431031 | DoS | Umiarkowany |
| CVE-2019-9327 | A-112050583 | DoS | Umiarkowany |
| CVE-2019-9462 | A-91544774 | DoS | Umiarkowany |
| CVE-2019-9389 | A-117567058 | DoS | Umiarkowany |
| CVE-2019-9390 | A-117551475 | DoS | Umiarkowany |
| CVE-2019-9393 | A-116357965 | DoS | Umiarkowany |
| CVE-2019-9394 | A-116351796 | DoS | Umiarkowany |
| CVE-2019-9395 | A-116267405 | DoS | Umiarkowany |
| CVE-2019-9396 | A-115747155 | DoS | Umiarkowany |
| CVE-2019-9397 | A-115747410 | DoS | Umiarkowany |
| CVE-2019-9398 | A-115745406 | DoS | Umiarkowany |
| CVE-2019-9400 | A-115509589 | DoS | Umiarkowany |
| CVE-2019-9401 | A-115375248 | DoS | Umiarkowany |
| CVE-2019-9402 | A-115372550 | DoS | Umiarkowany |
| CVE-2019-9404 | A-112923309 | DoS | Umiarkowany |
| CVE-2019-9425 | A-110846194 | DoS | Umiarkowany |
| CVE-2019-9430 | A-109838296 | DoS | Umiarkowany |
Libxaac
Biblioteka libxaac systemu Android 9 została oznaczona jako eksperymentalna i usunięta z produkcyjnych wersji systemu Android w ramach biuletynu dotyczącego zabezpieczeń systemu Android z listopada 2018 r . Chcielibyśmy podziękować badaczom za ich odkrycia.
Zidentyfikowane problemy obejmują następujące identyfikatory CVE: CVE-2019-2055, CVE-2019-2059, CVE-2019-2060, CVE-2019-2061, CVE-2019-2062, CVE-2019-2063, CVE-2019-2064 , CVE-2019-2065, CVE-2019-2066, CVE-2019-2067, CVE-2019-2068, CVE-2019-2069, CVE-2019-2070, CVE-2019-2071, CVE-2019-2072, CVE -2019-2073, CVE-2019-2074, CVE-2019-2075, CVE-2019-2076, CVE-2019-2077, CVE-2019-2078, CVE-2019-2079, CVE-2019-2080, CVE-2019 -2081, CVE-2019-2082, CVE-2019-2083, CVE-2019-2084, CVE-2019-2085, CVE-2019-2086, CVE-2019-2087, CVE-2019-2138, CVE-2019-2139 , CVE-2019-2140, CVE-2019-2141, CVE-2019-2142, CVE-2019-2143, CVE-2019-2144, CVE-2019-2145, CVE-2019-2146, CVE-2019-2147, CVE -2019-2148, CVE-2019-2149, CVE-2019-2150, CVE-2019-2151, CVE-2019-2152, CVE-2019-2153, CVE-2019-2154, CVE-2019-2155, CVE-2019 -2156, CVE-2019-2157, CVE-2019-2158, CVE-2019-2159, CVE-2019-2160, CVE-2019-2161, CVE-2019-2162, CVE-2019-2163, CVE-2019-2164 , CVE-2019-2165, CVE-2019-2166, CVE-2019-2167, CVE-2019-2168, CVE-2019-2169, CVE-2019-2170, CVE-2019-2171, CVE-2019-2172, CVE -2019-9261, CVE-2019-9264, CVE-2019-9385 i CVE-2019-9391.
Często zadawane pytania i odpowiedzi
W tej sekcji znajdują się odpowiedzi na często zadawane pytania, które mogą pojawić się po przeczytaniu niniejszego biuletynu.
1. Jak sprawdzić, czy moje urządzenie zostało zaktualizowane w celu rozwiązania tych problemów?
Aby dowiedzieć się, jak sprawdzić poziom poprawek zabezpieczeń urządzenia, zobacz Sprawdzanie i aktualizowanie wersji Androida .
Android 10 wydany na AOSP ma domyślny poziom poprawek zabezpieczeń 2019-09-01. Urządzenia z systemem Android z systemem Android 10 i wersją poprawki zabezpieczeń z datą 2019-09-01 lub nowszą rozwiązują wszystkie problemy opisane w niniejszych informacjach o wersji zabezpieczeń.
2. Co oznaczają wpisy w kolumnie Typ ?
Wpisy w kolumnie Typ tabeli szczegółów luki odnoszą się do klasyfikacji luki w zabezpieczeniach.
| Skrót | Definicja |
|---|---|
| RCE | Zdalne wykonanie kodu |
| EoP | Podniesienie przywilejów |
| ID | Ujawnianie informacji |
| DoS | Odmowa usługi |
| Nie dotyczy | Klasyfikacja niedostępna |
3. Co oznaczają wpisy w kolumnie Referencje ?
Wpisy w kolumnie Referencje tabeli szczegółów podatności mogą zawierać przedrostek identyfikujący organizację, do której należy wartość referencyjna.
| Prefiks | Odniesienie |
|---|---|
| A- | Identyfikator błędu Androida |
Wersje
| Wersja | Data | Notatki |
|---|---|---|
| 1,0 | 20 sierpnia 2019 r | Opublikowano Informacje o wydaniu zabezpieczeń. |
| 1.1 | 21 sierpnia 2019 r | Drobne poprawki w tabelach podatności |
| 1.2 | 17 września 2019 r | Zaktualizowano podziękowania i listę problemów |
| 1.3 | 21 listopada 2019 r | Zaktualizowana lista problemów |
| 1.4 | 12 lutego 2020 r | Zaktualizowana lista problemów |
| 1,5 | 26 lutego 2020 r | Zaktualizowana lista problemów |
| 1.6 | 11 maja 2020 r | Zaktualizowana lista problemów |
| 1.7 | 11 czerwca 2020 r | Zaktualizowana lista problemów |
| 1.8 | 27 stycznia 2021 r | Zaktualizowana lista problemów |