發布日期:2020 年 8 月 25 日 | 更新日期:2021 年 11 月 19 日
這份 Android 安全性版本資訊列舉對 Android 裝置造成影響的安全漏洞,並說明各項相關細節。這些漏洞已在 Android 11 中解決。如果 Android 11 裝置的安全性修補程式等級在 2020-09-01 之後,就不受這些問題影響。在 Android 開放原始碼計畫中,Android 11 的預設安全性修補程式等級為 2020-09-01。請參閱關於檢查及更新 Android 版本的說明文章,瞭解如何查看裝置的安全性修補程式等級。
Android 的合作夥伴會提前收到公告中所有問題的相關通知。這些問題的原始碼修補程式已隨 Android 11 發布到 Android 開放原始碼計畫 (AOSP) 存放區。
版本資訊列出的安全漏洞嚴重程度評定標準,是假設平台與服務的資安因應措施因開發需求關閉或遭人規避,然後推估有人運用安全漏洞攻擊時,裝置會受到多大影響,據此判定漏洞嚴重程度。
針對這些新發現的漏洞,我們目前尚未收到任何客戶回報相關的漏洞濫用案例。如果想進一步瞭解 Android 安全性平台防護措施和 Google Play 安全防護機制如何加強 Android 平台的安全性,請參閱 Android 和 Google Play 安全防護機制所提供的因應措施。
公告事項
- 本文所述的漏洞已在 Android 11 中解決。我們秉持資訊公開原則提供相關資訊,方便使用者參考。
- 我們在此向安全性研究社群致謝,感謝他們對 Android 生態系統安全性的持續貢獻。
Android 和 Google 服務的資安因應措施
本節概述 Android 安全性平台和 Google Play 安全防護等服務防護方案提供的資安因應措施。這些措施可有效防範有心人士在 Android 系統上惡意運用安全漏洞來達到特定目的。
- Android 平台持續推出新版本強化安全性,因此有心人士越來越難在 Android 系統上找出漏洞加以利用。我們建議所有使用者盡可能更新至最新版的 Android。
- Android 安全性團隊透過 Google Play 安全防護主動監控濫用情形,並向使用者警告可能有害的應用程式。在預設情況下,搭載 Google 行動服務的裝置會自動啟用 Google Play 安全防護機制。使用者如果不是從 Google Play 安裝應用程式,這項防護措施格外重要。
Android 11 安全漏洞詳情
下列各節詳列已在 Android 11 中解決的安全漏洞,我們依照資安問題影響的元件將各項漏洞分門別類,並附上詳細資料,例如 CVE、相關參考資料、漏洞類型和嚴重程度。
Android 執行階段
| CVE | 參考資料 | 類型 | 嚴重程度 |
|---|---|---|---|
| CVE-2020-0330 | A-150331085 | EoP | 中 |
架構
| CVE | 參考資料 | 類型 | 嚴重程度 |
|---|---|---|---|
| CVE-2020-0267 | A-139128211 | EoP | 最高 |
| CVE-2020-0275 | A-150507736 | EoP | 高 |
| CVE-2020-27098 | A-138791358 | EoP | 高 |
| CVE-2020-0337 | A-124329382 | ID | 高 |
| CVE-2020-27097 | A-140729426 | ID | 高 |
| CVE-2020-0333 | A-73822755 | RCE | 中 |
| CVE-2019-13734 | A-147323008 | EoP | 中 |
| CVE-2019-13752 | A-147320136 | EoP | 中 |
| CVE-2019-13753 | A-147320314 | EoP | 中 |
| CVE-2020-0130 | A-123230379 | EoP | 中 |
| CVE-2020-0277 | A-148627993 | EoP | 中 |
| CVE-2020-0341 | A-144920149 | EoP | 中 |
| CVE-2020-0345 | A-144286721 | EoP | 中 |
| CVE-2020-0366 | A-138443815 | EoP | 中 |
| CVE-2019-13751 | A-147322738 | ID | 中 |
| CVE-2020-0288 | A-153995991 | ID | 中 |
| CVE-2020-0289 | A-153996872 | ID | 中 |
| CVE-2020-0290 | A-153996866 | ID | 中 |
| CVE-2020-0293 | A-141455849 | ID | 中 |
| CVE-2020-0296 | A-153356209 | ID | 中 |
| CVE-2020-0297 | A-155183624 | ID | 中 |
| CVE-2020-0308 | A-153654357 | ID | 中 |
| CVE-2020-0312 | A-153879099 | ID | 中 |
| CVE-2020-0317 | A-119671929 | ID | 中 |
| CVE-2020-0343 | A-119672472 | ID | 中 |
| CVE-2020-0352 | A-132074310 | ID | 中 |
| CVE-2020-0372 | A-119673147 | ID | 中 |
程式庫
| CVE | 參考資料 | 類型 | 嚴重程度 |
|---|---|---|---|
| CVE-2020-0369 | A-130231426 | EoP | 中 |
| CVE-2019-8842 | A-141551144 | ID | 中 |
| CVE-2020-0322 | A-147002540 | ID | 中 |
| CVE-2020-0323 | A-146516087 | ID | 中 |
| CVE-2020-0425 | A-124000380 | ID | 高 |
| CVE-2020-0426 | A-154921790 | ID | 中 |
| CVE-2020-3898 | A-111450151 | ID | 中 |
媒體架構
| CVE | 參考資料 | 類型 | 嚴重程度 |
|---|---|---|---|
| CVE-2020-0264 | A-116718596 | RCE | 中 |
| CVE-2020-0303 | A-148223229 | RCE | 中 |
| CVE-2020-0321 | A-155171907 | RCE | 中 |
| CVE-2020-0306 | A-139666480 | EoP | 中 |
| CVE-2020-0336 | A-153467444 | EoP | 中 |
| CVE-2020-0346 | A-147002762 | EoP | 中 |
| CVE-2020-0356 | A-143787559 | EoP | 中 |
| CVE-2020-0357 | A-150225569 | EoP | 中 |
| CVE-2020-0358 | A-150227563 | EoP | 中 |
| CVE-2020-0360 | A-145129456 | EoP | 中 |
| CVE-2020-0406 | A-137794014 | EoP | 中 |
| CVE-2020-0125 | A-137282168 | ID | 中 |
| CVE-2020-0270 | A-145790628 | ID | 中 |
| CVE-2020-0274 | A-120781925 | ID | 中 |
| CVE-2020-0279 | A-131430997 | ID | 中 |
| CVE-2020-0314 | A-154934920 | ID | 中 |
| CVE-2020-0324 | A-136660304 | ID | 中 |
| CVE-2020-0328 | A-150156131 | ID | 中 |
| CVE-2020-0329 | A-63522940 | ID | 中 |
| CVE-2020-0340 | A-144901522 | ID | 中 |
| CVE-2020-0344 | A-140729887 | ID | 中 |
| CVE-2020-0355 | A-141883493 | ID | 中 |
| CVE-2020-0359 | A-150303018 | ID | 中 |
| CVE-2020-0361 | A-151927433 | ID | 中 |
| CVE-2020-0364 | A-137282770 | ID | 中 |
| CVE-2020-0370 | A-112051700 | ID | 中 |
| CVE-2020-0373 | A-146894086 | ID | 中 |
| CVE-2020-0287 | A-141860394 | DoS | 中 |
| CVE-2020-0301 | A-124940460 | DoS | 中 |
| CVE-2020-0320 | A-129282427 | DoS | 中 |
| CVE-2020-0332 | A-124783982 | DoS | 中 |
| CVE-2020-0351 | A-124777537 | DoS | 中 |
| CVE-2020-0353 | A-124777526 | DoS | 中 |
| CVE-2020-0362 | A-123237930 | DoS | 中 |
| CVE-2020-0363 | A-132274514 | DoS | 中 |
系統
| CVE | 參考資料 | 類型 | 嚴重程度 |
|---|---|---|---|
| CVE-2020-0266 | A-111086459 | EoP | 高 |
| CVE-2020-0374 | A-156251602 | EoP | 高 |
| CVE-2020-0375 | A-156253476 | EoP | 高 |
| CVE-2020-0318 | A-33646131 | DoS | 高 |
| CVE-2020-0354 | A-143604331 | RCE | 中 |
| CVE-2019-5094 | A-141639890 | EoP | 中 |
| CVE-2020-0089 | A-137015603 | EoP | 中 |
| CVE-2020-0262 | A-156353008 | EoP | 中 |
| CVE-2020-0268 | A-148294643 | EoP | 中 |
| CVE-2020-0271 | A-144507081 | EoP | 中 |
| CVE-2020-0273 | A-155646800 | EoP | 中 |
| CVE-2020-0298 | A-145129266 | EoP | 中 |
| CVE-2020-0299 | A-145130119 | EoP | 中 |
| CVE-2020-0309 | A-147227320 | EoP | 中 |
| CVE-2020-0319 | A-137868765 | EoP | 中 |
| CVE-2020-0326 | A-146453119 | EoP | 中 |
| CVE-2020-0334 | A-147995915 | EoP | 中 |
| CVE-2020-0335 | A-122361504 | EoP | 中 |
| CVE-2020-0347 | A-136658008 | EoP | 中 |
| CVE-2020-0350 | A-139424089 | EoP | 中 |
| CVE-2020-0405 | A-157475111 | EoP | 中 |
| CVE-2021-0846 | A-165596375 | ID | 中 |
| CVE-2021-0846 | A-165596375 | ID | 中 |
| CVE-2020-0263 | A-154913130 | ID | 中 |
| CVE-2020-0265 | A-150155839 | ID | 中 |
| CVE-2020-0269 | A-151645626 | ID | 中 |
| CVE-2020-0272 | A-130166487 | ID | 中 |
| CVE-2020-0276 | A-156253586 | ID | 中 |
| CVE-2020-0281 | A-137857778 | ID | 中 |
| CVE-2020-0282 | A-144506224 | ID | 中 |
| CVE-2020-0284 | A-156253784 | ID | 中 |
| CVE-2020-0285 | A-156253479 | ID | 中 |
| CVE-2020-0286 | A-150214479 | ID | 中 |
| CVE-2020-0291 | A-146032016 | ID | 中 |
| CVE-2020-0292 | A-110107252 | ID | 中 |
| CVE-2020-0295 | A-155650969 | ID | 中 |
| CVE-2020-0300 | A-148736216 | ID | 中 |
| CVE-2020-0302 | A-151646375 | ID | 中 |
| CVE-2020-0304 | A-151645695 | ID | 中 |
| CVE-2020-0307 | A-151645867 | ID | 中 |
| CVE-2020-0310 | A-153356468 | ID | 中 |
| CVE-2020-0311 | A-153878642 | ID | 中 |
| CVE-2020-0313 | A-154917989 | ID | 中 |
| CVE-2020-0315 | A-155642026 | ID | 中 |
| CVE-2020-0316 | A-154934919 | ID | 中 |
| CVE-2020-0325 | A-145079309 | ID | 中 |
| CVE-2020-0327 | A-129151407 | ID | 中 |
| CVE-2020-0331 | A-147309310 | ID | 中 |
| CVE-2020-0348 | A-139188582 | ID | 中 |
| CVE-2020-0349 | A-139188779 | ID | 中 |
| CVE-2020-0365 | A-137346580 | DoS | 中 |
常見問題與解答
如果您在閱讀這篇公告後有任何疑問,可參考本節的常見問答。
1. 如何判斷目前的裝置軟體版本已修正這些問題?
請參閱檢查及更新 Android 版本一文,瞭解如何查看裝置的安全性修補程式等級。
透過 Android 開放原始碼計畫所發布 Android 11 的預設安全性修補程式等級為 2020-09-01。如果 Android 11 裝置使用 2020-09-01 之後的安全性修補程式等級,就已經解決這些安全性版本資訊提到的所有問題。
2.「類型」欄中的項目代表什麼意義?
在安全漏洞詳情表中,「類型」欄中的項目代表安全漏洞類別。
| 縮寫 | 定義 |
|---|---|
| RCE | 遠端程式碼執行 |
| EoP | 權限提升 |
| ID | 資訊外洩 |
| DoS | 阻斷服務 |
| 無 | 未分類 |
3.「參考資料」欄底下列出的識別碼代表什麼?
安全漏洞詳情表格中「參考資料」欄底下的項目可能會包含一個前置字串,用以表示該參考資料值所屬的機構或公司。
| 前置字串 | 參考資料 |
|---|---|
| A- | Android 錯誤 ID |
版本
| 版本 | 日期 | 附註 |
|---|---|---|
| 1.0 | 2020 年 8 月 25 日 | 發布安全性版本資訊 |
| 1.1 | 2020 年 12 月 30 日 | 更新問題清單 |
| 1.2 | 2021 年 1 月 27 日 | 更新問題清單 |
| 1.3 | 2021 年 11 月 17 日 | 更新問題清單 |