הערות שחרור אבטחה של Android 11

פורסם ב-25 באוגוסט 2020 | עודכן ב-19 בנובמבר 2021

הערות שחרור אבטחה זה של Android מכילות פרטים על פרצות אבטחה המשפיעות על מכשירי Android אשר מטופלות כחלק מ-Android 11. מכשירי Android 11 עם רמת תיקון אבטחה של 2020-09-01 ואילך מוגנים מפני בעיות אלו (Android 11, כפי שפורסמו ב- ל-AOSP, תהיה רמת ברירת המחדל של תיקון אבטחה של 2020-09-01). כדי ללמוד כיצד לבדוק את רמת תיקון האבטחה של מכשיר, ראה בדוק ועדכן את גרסת Android שלך .

שותפי Android מקבלים הודעה על כל הבעיות לפני הפרסום. תיקוני קוד מקור עבור בעיות אלה ישוחררו למאגר Android Open Source Project (AOSP) כחלק מהגרסה של Android 11.

הערכת חומרת הבעיות בהערות המהדורה הללו מבוססת על ההשפעה שתהיה לניצול הפגיעות על מכשיר מושפע, בהנחה שהפלטפורמה וההקלות בשירות כבויות למטרות פיתוח או אם יעקפו בהצלחה.

לא קיבלנו דיווחים על ניצול פעיל של לקוחות או שימוש לרעה בבעיות אלה שדווחו לאחרונה. עיין בסעיף ההפחתה של Android ו-Google Play Protect לפרטים על הגנות פלטפורמת האבטחה של Android ו-Google Play Protect, המשפרים את האבטחה של פלטפורמת Android.

הכרזות

  • הבעיות המתוארות במסמך זה מטופלות כחלק מ-Android 11. מידע זה מסופק לעיון ולשקיפות.
  • ברצוננו להודות ולהודות לקהילת מחקרי האבטחה על תרומתם המתמשכת לאבטחת המערכת האקולוגית של אנדרואיד.

מצמצמות שירותי אנדרואיד וגוגל

זהו סיכום של ההקלות המסופקות על ידי פלטפורמת האבטחה אנדרואיד והגנות שירות כגון Google Play Protect . יכולות אלו מפחיתות את הסבירות שניתן יהיה לנצל בהצלחה פרצות אבטחה באנדרואיד.

  • ניצול בעיות רבות באנדרואיד מקשה על ידי שיפורים בגרסאות חדשות יותר של פלטפורמת אנדרואיד. אנו ממליצים לכל המשתמשים לעדכן לגרסה העדכנית ביותר של אנדרואיד במידת האפשר.
  • צוות האבטחה של Android עוקב באופן פעיל אחר שימוש לרעה באמצעות Google Play Protect ומזהיר משתמשים לגבי יישומים שעלולים להזיק . Google Play Protect מופעל כברירת מחדל במכשירים עם שירותי Google Mobile , והוא חשוב במיוחד למשתמשים שמתקינים אפליקציות מחוץ ל-Google Play.

פרטי פגיעות אנדרואיד 11

הסעיפים שלהלן מספקים פרטים על פרצות אבטחה שתוקנו כחלק מ-Android 11. פגיעויות מקובצות תחת הרכיב שהן משפיעות וכוללות פרטים כגון CVE, הפניות משויכות, סוג הפגיעות וחומרת .

זמן ריצה של אנדרואיד

CVE הפניות סוּג חוּמרָה
CVE-2020-0330 א-150331085 EoP לְמַתֵן

מִסגֶרֶת

CVE הפניות סוּג חוּמרָה
CVE-2020-0267 א-139128211 EoP קריטי
CVE-2020-0275 A-150507736 EoP גָבוֹהַ
CVE-2020-27098 א-138791358 EoP גָבוֹהַ
CVE-2020-0337 A-124329382 תְעוּדַת זֶהוּת גָבוֹהַ
CVE-2020-27097 א-140729426 תְעוּדַת זֶהוּת גָבוֹהַ
CVE-2020-0333 א-73822755 RCE לְמַתֵן
CVE-2019-13734 א-147323008 EoP לְמַתֵן
CVE-2019-13752 א-147320136 EoP לְמַתֵן
CVE-2019-13753 א-147320314 EoP לְמַתֵן
CVE-2020-0130 A-123230379 EoP לְמַתֵן
CVE-2020-0277 א-148627993 EoP לְמַתֵן
CVE-2020-0341 A-144920149 EoP לְמַתֵן
CVE-2020-0345 א-144286721 EoP לְמַתֵן
CVE-2020-0366 א-138443815 EoP לְמַתֵן
CVE-2019-13751 א-147322738 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2020-0288 א-153995991 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2020-0289 א-153996872 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2020-0290 א-153996866 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2020-0293 א-141455849 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2020-0296 א-153356209 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2020-0297 א-155183624 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2020-0308 א-153654357 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2020-0312 א-153879099 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2020-0317 א-119671929 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2020-0343 A-119672472 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2020-0352 A-132074310 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2020-0372 א-119673147 תְעוּדַת זֶהוּת לְמַתֵן

סִפְרִיָה

CVE הפניות סוּג חוּמרָה
CVE-2020-0369 א-130231426 EoP לְמַתֵן
CVE-2019-8842 א-141551144 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2020-0322 A-147002540 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2020-0323 א-146516087 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2020-0425 A-124000380 תְעוּדַת זֶהוּת גָבוֹהַ
CVE-2020-0426 א-154921790 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2020-3898 A-111450151 תְעוּדַת זֶהוּת לְמַתֵן

מסגרת מדיה

CVE הפניות סוּג חוּמרָה
CVE-2020-0264 א-116718596 RCE לְמַתֵן
CVE-2020-0303 א-148223229 RCE לְמַתֵן
CVE-2020-0321 א-155171907 RCE לְמַתֵן
CVE-2020-0306 א-139666480 EoP לְמַתֵן
CVE-2020-0336 א-153467444 EoP לְמַתֵן
CVE-2020-0346 א-147002762 EoP לְמַתֵן
CVE-2020-0356 א-143787559 EoP לְמַתֵן
CVE-2020-0357 A-150225569 EoP לְמַתֵן
CVE-2020-0358 א-150227563 EoP לְמַתֵן
CVE-2020-0360 א-145129456 EoP לְמַתֵן
CVE-2020-0406 א-137794014 EoP לְמַתֵן
CVE-2020-0125 א-137282168 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2020-0270 א-145790628 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2020-0274 A-120781925 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2020-0279 A-131430997 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2020-0314 א-154934920 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2020-0324 A-136660304 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2020-0328 א-150156131 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2020-0329 A-63522940 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2020-0340 א-144901522 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2020-0344 א-140729887 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2020-0355 א-141883493 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2020-0359 A-150303018 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2020-0361 א-151927433 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2020-0364 א-137282770 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2020-0370 A-112051700 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2020-0373 א-146894086 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2020-0287 א-141860394 DoS לְמַתֵן
CVE-2020-0301 A-124940460 DoS לְמַתֵן
CVE-2020-0320 A-129282427 DoS לְמַתֵן
CVE-2020-0332 A-124783982 DoS לְמַתֵן
CVE-2020-0351 א-124777537 DoS לְמַתֵן
CVE-2020-0353 א-124777526 DoS לְמַתֵן
CVE-2020-0362 A-123237930 DoS לְמַתֵן
CVE-2020-0363 א-132274514 DoS לְמַתֵן

מערכת

CVE הפניות סוּג חוּמרָה
CVE-2020-0266 A-111086459 EoP גָבוֹהַ
CVE-2020-0374 א-156251602 EoP גָבוֹהַ
CVE-2020-0375 א-156253476 EoP גָבוֹהַ
CVE-2020-0318 א-33646131 DoS גָבוֹהַ
CVE-2020-0354 א-143604331 RCE לְמַתֵן
CVE-2019-5094 א-141639890 EoP לְמַתֵן
CVE-2020-0089 א-137015603 EoP לְמַתֵן
CVE-2020-0262 א-156353008 EoP לְמַתֵן
CVE-2020-0268 א-148294643 EoP לְמַתֵן
CVE-2020-0271 א-144507081 EoP לְמַתֵן
CVE-2020-0273 A-155646800 EoP לְמַתֵן
CVE-2020-0298 א-145129266 EoP לְמַתֵן
CVE-2020-0299 א-145130119 EoP לְמַתֵן
CVE-2020-0309 א-147227320 EoP לְמַתֵן
CVE-2020-0319 א-137868765 EoP לְמַתֵן
CVE-2020-0326 א-146453119 EoP לְמַתֵן
CVE-2020-0334 א-147995915 EoP לְמַתֵן
CVE-2020-0335 A-122361504 EoP לְמַתֵן
CVE-2020-0347 A-136658008 EoP לְמַתֵן
CVE-2020-0350 A-139424089 EoP לְמַתֵן
CVE-2020-0405 א-157475111 EoP לְמַתֵן
CVE-2021-0846 א-165596375 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2021-0846 א-165596375 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2020-0263 א-154913130 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2020-0265 א-150155839 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2020-0269 א-151645626 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2020-0272 א-130166487 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2020-0276 א-156253586 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2020-0281 א-137857778 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2020-0282 א-144506224 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2020-0284 א-156253784 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2020-0285 א-156253479 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2020-0286 א-150214479 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2020-0291 א-146032016 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2020-0292 A-110107252 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2020-0295 א-155650969 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2020-0300 א-148736216 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2020-0302 א-151646375 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2020-0304 א-151645695 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2020-0307 א-151645867 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2020-0310 א-153356468 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2020-0311 א-153878642 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2020-0313 א-154917989 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2020-0315 א-155642026 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2020-0316 א-154934919 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2020-0325 A-145079309 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2020-0327 A-129151407 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2020-0331 א-147309310 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2020-0348 א-139188582 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2020-0349 א-139188779 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2020-0365 א-137346580 DoS לְמַתֵן

שאלות ותשובות נפוצות

סעיף זה עונה על שאלות נפוצות שעלולות להתרחש לאחר קריאת עלון זה.

1. כיצד אוכל לקבוע אם המכשיר שלי מעודכן כדי לטפל בבעיות אלו?

כדי ללמוד כיצד לבדוק את רמת תיקון האבטחה של מכשיר, ראה בדוק ועדכן את גרסת Android שלך .

לאנדרואיד 11, כפי שפורסמה ב-AOSP, יש רמת ברירת מחדל של תיקון אבטחה של 2020-09-01. מכשירי אנדרואיד עם אנדרואיד 11 ועם רמת תיקון אבטחה של 2020-09-01 ואילך מטפלים בכל הבעיות הכלולות בהערות שחרור אבטחה אלה.

2. מה המשמעות של הערכים בעמודה סוג ?

ערכים בעמודה סוג של טבלת פרטי הפגיעות מתייחסים לסיווג של פגיעות האבטחה.

נוֹטָרִיקוֹן הַגדָרָה
RCE ביצוע קוד מרחוק
EoP העלאת הפריבילגיה
תְעוּדַת זֶהוּת גילוי מידע
DoS מניעת שירות
לא סיווג אינו זמין

3. מה המשמעות של הערכים בעמודת הפניות ?

ערכים בעמודה הפניות בטבלת פרטי הפגיעות עשויים להכיל קידומת המזהה את הארגון שאליו שייך ערך ההפניה.

קידומת התייחסות
א- מזהה באג אנדרואיד

גרסאות

גִרְסָה תַאֲרִיך הערות
1.0 25 באוגוסט 2020 הערות שחרור אבטחה פורסמו
1.1 30 בדצמבר 2020 רשימת בעיות מעודכנת
1.2 27 בינואר 2021 רשימת בעיות מעודכנת
1.3 17 בנובמבר 2021 רשימת בעיות מעודכנת