Примечания о безопасности к выпуску Android 11

Опубликовано 25 августа 2020 г. | Обновлено 19 ноября 2021 г.

В этих примечаниях к выпуску содержится информация об уязвимостях в защите, исправленных в Android 11. Все перечисленные здесь проблемы устранены на устройствах Android 11 с исправлением системы безопасности 2020-09-01 или более новым (исправление 2020-09-01 по умолчанию используется в версии Android 11, опубликованной на сайте AOSP). Информацию о том, как проверить версию исправления системы безопасности на устройстве, можно найти в Справочном центре.

Мы сообщаем партнерам Android обо всех проблемах до публикации бюллетеней. Исправления для устранения указанных уязвимостей в исходном коде будут добавлены в хранилище Android Open Source Project (AOSP) в рамках выпуска Android 11.

Уровень серьезности, указанный в этих примечаниях к выпуску, зависит от того, какой ущерб может быть нанесен устройству при атаке с использованием уязвимости, если средства защиты платформы и сервисов будут отключены разработчиком или взломаны злоумышленниками.

Мы не получали сообщений об использовании недавно обнаруженных уязвимостей. Сведения о том, как платформа безопасности и Google Play Защита помогают снизить вероятность использования уязвимостей Android, можно найти в разделе Предотвращение атак.

Объявления

  • Проблемы, описанные в этом документе, устранены в Android 11. Сведения о них предоставлены для справки и обеспечения информационной прозрачности.
  • Мы хотим поблагодарить исследователей в области безопасности за их непрерывную работу, которая помогает обеспечить защиту экосистемы Android.

Предотвращение атак

Здесь описано, как платформа безопасности Android и такие сервисы, как Google Play Защита, позволяют снизить вероятность успешного использования уязвимостей Android.

  • В новых версиях Android сложнее использовать многие уязвимости, поэтому мы рекомендуем всем пользователям своевременно обновлять систему.
  • Команда, отвечающая за безопасность Android, активно отслеживает злоупотребления с помощью Google Play Защиты и предупреждает пользователей об установке потенциально опасных приложений. Google Play Защита по умолчанию включена на телефонах и планшетах, использующих сервисы Google для мобильных устройств. Она особенно важна, если устанавливаются приложения не из Google Play.

Android 11: подробные сведения об уязвимостях

В этом разделе вы найдете подробную информацию обо всех уязвимостях, устраненных в Android 11. Проблемы сгруппированы по компонентам, которые они затрагивают. Для каждого случая приведены описание и таблица, где указаны CVE, ссылки, тип уязвимости и уровень серьезности.

Android Runtime

CVE Ссылки Тип Уровень серьезности
CVE-2020-0330 A-150331085 EoP Средний

Framework

CVE Ссылки Тип Уровень серьезности
CVE-2020-0267 A-139128211 EoP Критический
CVE-2020-0275 A-150507736 EoP Высокий
CVE-2020-27098 A-138791358 EoP Высокий
CVE-2020-0337 A-124329382 ID Высокий
CVE-2020-27097 A-140729426 ID Высокий
CVE-2020-0333 A-73822755 RCE Средний
CVE-2019-13734 A-147323008 EoP Средний
CVE-2019-13752 A-147320136 EoP Средний
CVE-2019-13753 A-147320314 EoP Средний
CVE-2020-0130 A-123230379 EoP Средний
CVE-2020-0277 A-148627993 EoP Средний
CVE-2020-0341 A-144920149 EoP Средний
CVE-2020-0345 A-144286721 EoP Средний
CVE-2020-0366 A-138443815 EoP Средний
CVE-2019-13751 A-147322738 ID Средний
CVE-2020-0288 A-153995991 ID Средний
CVE-2020-0289 A-153996872 ID Средний
CVE-2020-0290 A-153996866 ID Средний
CVE-2020-0293 A-141455849 ID Средний
CVE-2020-0296 A-153356209 ID Средний
CVE-2020-0297 A-155183624 ID Средний
CVE-2020-0308 A-153654357 ID Средний
CVE-2020-0312 A-153879099 ID Средний
CVE-2020-0317 A-119671929 ID Средний
CVE-2020-0343 A-119672472 ID Средний
CVE-2020-0352 A-132074310 ID Средний
CVE-2020-0372 A-119673147 ID Средний

Библиотека

CVE Ссылки Тип Уровень серьезности
CVE-2020-0369 A-130231426 EoP Средний
CVE-2019-8842 A-141551144 ID Средний
CVE-2020-0322 A-147002540 ID Средний
CVE-2020-0323 A-146516087 ID Средний
CVE-2020-0425 A-124000380 ID Высокий
CVE-2020-0426 A-154921790 ID Средний
CVE-2020-3898 A-111450151 ID Средний

Media Framework

CVE Ссылки Тип Уровень серьезности
CVE-2020-0264 A-116718596 RCE Средний
CVE-2020-0303 A-148223229 RCE Средний
CVE-2020-0321 A-155171907 RCE Средний
CVE-2020-0306 A-139666480 EoP Средний
CVE-2020-0336 A-153467444 EoP Средний
CVE-2020-0346 A-147002762 EoP Средний
CVE-2020-0356 A-143787559 EoP Средний
CVE-2020-0357 A-150225569 EoP Средний
CVE-2020-0358 A-150227563 EoP Средний
CVE-2020-0360 A-145129456 EoP Средний
CVE-2020-0406 A-137794014 EoP Средний
CVE-2020-0125 A-137282168 ID Средний
CVE-2020-0270 A-145790628 ID Средний
CVE-2020-0274 A-120781925 ID Средний
CVE-2020-0279 A-131430997 ID Средний
CVE-2020-0314 A-154934920 ID Средний
CVE-2020-0324 A-136660304 ID Средний
CVE-2020-0328 A-150156131 ID Средний
CVE-2020-0329 A-63522940 ID Средний
CVE-2020-0340 A-144901522 ID Средний
CVE-2020-0344 A-140729887 ID Средний
CVE-2020-0355 A-141883493 ID Средний
CVE-2020-0359 A-150303018 ID Средний
CVE-2020-0361 A-151927433 ID Средний
CVE-2020-0364 A-137282770 ID Средний
CVE-2020-0370 A-112051700 ID Средний
CVE-2020-0373 A-146894086 ID Средний
CVE-2020-0287 A-141860394 DoS Средний
CVE-2020-0301 A-124940460 DoS Средний
CVE-2020-0320 A-129282427 DoS Средний
CVE-2020-0332 A-124783982 DoS Средний
CVE-2020-0351 A-124777537 DoS Средний
CVE-2020-0353 A-124777526 DoS Средний
CVE-2020-0362 A-123237930 DoS Средний
CVE-2020-0363 A-132274514 DoS Средний

Система

CVE Ссылки Тип Уровень серьезности
CVE-2020-0266 A-111086459 EoP Высокий
CVE-2020-0374 A-156251602 EoP Высокий
CVE-2020-0375 A-156253476 EoP Высокий
CVE-2020-0318 A-33646131 DoS Высокий
CVE-2020-0354 A-143604331 RCE Средний
CVE-2019-5094 A-141639890 EoP Средний
CVE-2020-0089 A-137015603 EoP Средний
CVE-2020-0262 A-156353008 EoP Средний
CVE-2020-0268 A-148294643 EoP Средний
CVE-2020-0271 A-144507081 EoP Средний
CVE-2020-0273 A-155646800 EoP Средний
CVE-2020-0298 A-145129266 EoP Средний
CVE-2020-0299 A-145130119 EoP Средний
CVE-2020-0309 A-147227320 EoP Средний
CVE-2020-0319 A-137868765 EoP Средний
CVE-2020-0326 A-146453119 EoP Средний
CVE-2020-0334 A-147995915 EoP Средний
CVE-2020-0335 A-122361504 EoP Средний
CVE-2020-0347 A-136658008 EoP Средний
CVE-2020-0350 A-139424089 EoP Средний
CVE-2020-0405 A-157475111 EoP Средний
CVE-2021-0846 A-165596375 ID Средний
CVE-2021-0846 A-165596375 ID Средний
CVE-2020-0263 A-154913130 ID Средний
CVE-2020-0265 A-150155839 ID Средний
CVE-2020-0269 A-151645626 ID Средний
CVE-2020-0272 A-130166487 ID Средний
CVE-2020-0276 A-156253586 ID Средний
CVE-2020-0281 A-137857778 ID Средний
CVE-2020-0282 A-144506224 ID Средний
CVE-2020-0284 A-156253784 ID Средний
CVE-2020-0285 A-156253479 ID Средний
CVE-2020-0286 A-150214479 ID Средний
CVE-2020-0291 A-146032016 ID Средний
CVE-2020-0292 A-110107252 ID Средний
CVE-2020-0295 A-155650969 ID Средний
CVE-2020-0300 A-148736216 ID Средний
CVE-2020-0302 A-151646375 ID Средний
CVE-2020-0304 A-151645695 ID Средний
CVE-2020-0307 A-151645867 ID Средний
CVE-2020-0310 A-153356468 ID Средний
CVE-2020-0311 A-153878642 ID Средний
CVE-2020-0313 A-154917989 ID Средний
CVE-2020-0315 A-155642026 ID Средний
CVE-2020-0316 A-154934919 ID Средний
CVE-2020-0325 A-145079309 ID Средний
CVE-2020-0327 A-129151407 ID Средний
CVE-2020-0331 A-147309310 ID Средний
CVE-2020-0348 A-139188582 ID Средний
CVE-2020-0349 A-139188779 ID Средний
CVE-2020-0365 A-137346580 DoS Средний

Часто задаваемые вопросы

В этом разделе мы отвечаем на вопросы, которые могут возникнуть после прочтения бюллетеня.

1. Как определить, установлено ли на устройство обновление, в котором устранены перечисленные проблемы?

Информацию о том, как проверить обновления системы безопасности, можно найти в Справочном центре.

В версии Android 11, опубликованной на сайте AOSP, по умолчанию используется исправление системы безопасности 2020-09-01. На устройствах Android 11 с исправлением 2020-09-01 или более новым устранены все уязвимости, описанные в этих примечаниях к выпуску.

2. Что означают сокращения в столбце Тип?

В этом столбце указан тип уязвимости по следующей классификации:

Сокращение Описание
RCE Удаленное выполнение кода (Remote code execution)
EoP Повышение привилегий (Elevation of privilege)
ID Раскрытие информации (Information disclosure)
DoS Отказ в обслуживании (Denial of service)
Н/Д Классификация недоступна

3. Что означает информация в столбце Ссылки?

В таблицах с описанием уязвимостей есть столбец Ссылки. Каждая запись в нем может содержать префикс, указывающий на источник ссылки, а именно:

Префикс Значение
A- Идентификатор ошибки Android

Версии

Версия Дата Примечания
1.0 25 августа 2020 г. Опубликованы примечания о безопасности к выпуску.
1.1 30 декабря 2020 г. Обновлен список проблем.
1.2 27 января 2021 г. Обновлен список проблем.
1.3 17 ноября 2021 г. Обновлен список проблем.