發布日期:2019 年 9 月 3 日 | 更新日期:2019 年 9 月 12 日
Pixel 更新公告列舉對支援的 Pixel 裝置 (Google 裝置) 造成影響的安全漏洞和功能改善項目,並說明相關細節。2019-09-05 之後的安全性修補程式等級也已針對 Google 裝置解決了這個公告和 2019 年 9 月 Android 安全性公告列出的所有問題。請參閱檢查及更新 Android 版本一文,瞭解如何查看裝置的安全性修補程式等級。
所有支援的 Google 裝置都會收到 2019-09-05 修補程式等級更新。我們建議所有客戶接受這些裝置更新。
公告事項
我們已修補 2019 年 9 月 Android 安全性公告中所列出的安全性漏洞。此外,如果支援的 Google 裝置已更新到 Android 10,我們也會針對下文列出的安全性漏洞提供修補程式。我們已告知合作夥伴,這些問題在 Android 10 中已獲得解決。
安全性修補程式
下表針對搭載 Android 10 的 Pixel 裝置列出安全性修補程式相關資訊。我們依照資安問題本身所影響的元件將各項漏洞分門別類,並將問題相關資訊列於下表,包括 CVE ID、相關參考資料、漏洞類型、嚴重程度,以及更新的 Android 開放原始碼計畫 (AOSP) 版本 (在適用情況下)。假如相關錯誤有公開變更,該錯誤 ID 會連結到相對應的變更 (例如 Android 開放原始碼計畫變更清單)。如果單一錯誤有多項相關變更,您可以透過該錯誤 ID 後面的編號連結開啟額外的參考資料。
Broadcom 元件
| CVE | 參考資料 | 類型 | 嚴重程度 | 元件 |
|---|---|---|---|---|
| CVE-2019-9426 | A-110460199* | EoP | 中 | 藍牙 |
LG 元件
| CVE | 參考資料 | 類型 | 嚴重程度 | 元件 |
|---|---|---|---|---|
| CVE-2019-9436 | A-127320561* | EoP | 中 | 系統啟動載入程式 |
| CVE-2019-2191 | A-68770980* | ID | 中 | 系統啟動載入程式 |
| CVE-2019-2190 | A-68771598* | ID | 中 | 系統啟動載入程式 |
核心元件
| CVE | 參考資料 | 類型 | 嚴重程度 | 元件 |
|---|---|---|---|---|
| CVE-2019-9345 | A-27915347* | EoP | 高 | 核心 |
| CVE-2019-9461 | A-120209610* | ID | 高 | VPN |
| CVE-2019-9248 | A-120279144* | EoP | 中 | 觸控驅動程式 |
| CVE-2019-9270 | A-65123745* | EoP | 中 | Wi-Fi |
| CVE-2019-2182 | A-128700140 上游程式庫核心 |
EoP | 中 | 核心 MMU |
| CVE-2019-9271 | A-69006201* | EoP | 中 | MNH 驅動程式 |
| CVE-2019-9273 | A-70241598* | EoP | 中 | 觸控驅動程式 |
| CVE-2019-9274 | A-70809925* | EoP | 中 | MNH 驅動程式 |
| CVE-2019-9275 | A-71508439* | EoP | 中 | MNH 驅動程式 |
| CVE-2019-9276 | A-70294179* | EoP | 中 | 觸控驅動程式 |
| CVE-2019-9441 | A-69006882* | EoP | 中 | MNH 驅動程式 |
| CVE-2019-9442 | A-69808778* | EoP | 中 | MNH 驅動程式 |
| CVE-2019-9443 | A-70896844* | EoP | 中 | VL53L0 驅動程式 |
| CVE-2019-9446 | A-118617506* | EoP | 中 | 觸控驅動程式 |
| CVE-2019-9447 | A-119120571 上游程式庫核心 |
EoP | 中 | 觸控驅動程式 |
| CVE-2019-9448 | A-120141999 上游程式庫核心 |
EoP | 中 | 觸控驅動程式 |
| CVE-2019-9450 | A-120141034 上游程式庫核心 |
EoP | 中 | 觸控驅動程式 |
| CVE-2019-9451 | A-120211415 上游程式庫核心 |
EoP | 中 | 觸控驅動程式 |
| CVE-2019-9454 | A-129148475 上游程式庫核心 |
EoP | 中 | I2C 驅動程式 |
| CVE-2019-9456 | A-71362079 上游程式庫核心 |
EoP | 中 | USB 驅動程式 |
| CVE-2019-9457 | A-116716935 上游程式庫核心 |
EoP | 中 | 核心 |
| CVE-2019-9458 | A-117989855 上游程式庫核心 |
EoP | 中 | 視訊驅動程式 |
| CVE-2019-8912 | A-125367761 上游程式庫核心 |
EoP | 中 | 加密編譯 |
| CVE-2018-18397 | A-124036248 上游程式庫核心 |
EoP | 中 | 儲存空間 |
| CVE-2018-14614 | A-116406552 上游程式庫核心 |
EoP | 中 | 儲存空間 |
| CVE-2018-1000199 | A-110918800 上游程式庫核心 |
EoP | 中 | ptrace |
| CVE-2018-13096 | A-113148557 上游程式庫核心 |
EoP | 中 | 儲存空間 |
| CVE-2018-5803 | A-112406370 上游程式庫核心 |
DoS | 中 | SCTP |
| CVE-2019-2189 | A-112312381 | EoP | 中 | 圖像驅動程式 |
| CVE-2019-2188 | A-112309571* | EoP | 中 | 圖像驅動程式 |
| CVE-2017-16939 | A-70521013 上游程式庫核心 |
EoP | 中 | Netlink XFRM |
| CVE-2018-20169 | A-120783657 上游程式庫核心 |
ID | 中 | USB 驅動程式 |
| CVE-2019-9245 | A-120491338 上游程式庫核心 |
ID | 中 | 儲存空間驅動程式 |
| CVE-2019-9444 | A-78597155 上游程式庫核心 |
ID | 中 | 儲存空間驅動程式 |
| CVE-2019-9445 | A-118153030 上游程式庫核心 |
ID | 中 | 儲存空間驅動程式 |
| CVE-2019-9449 | A-120141031 上游程式庫核心 |
ID | 中 | 觸控驅動程式 |
| CVE-2019-9452 | A-120211708 上游程式庫核心 |
ID | 中 | 觸控驅動程式 |
| CVE-2019-9453 | A-126558260 上游程式庫核心 |
ID | 中 | 儲存空間驅動程式 |
| CVE-2019-9455 | A-121035792 上游程式庫核心 |
ID | 中 | 視訊驅動程式 |
| CVE-2018-19985 | A-131963918 上游程式庫核心 |
ID | 中 | USB 驅動程式 |
| CVE-2018-20511 | A-123742046 上游程式庫核心 |
ID | 中 | nNet/AppleTalk |
| CVE-2018-1000204 | A-113096593 上游程式庫核心 |
ID | 中 | 儲存空間 |
Qualcomm 元件
| CVE | 參考資料 | 類型 | 嚴重程度 | 元件 |
|---|---|---|---|---|
| CVE-2017-14888 | A-70237718 QC-CR#2119729 |
無 | 中 | WLAN 主機 |
| CVE-2018-3573 | A-72957667 QC-CR#2124525 |
無 | 中 | 系統啟動載入程式 |
| CVE-2017-15844 | A-67749071 QC-CR#2127276 |
無 | 中 | 核心 |
| CVE-2018-3574 | A-72957321 QC-CR#2148121 [2] [3] |
無 | 中 | 核心 |
| CVE-2018-5861 | A-77527684 QC-CR#2167135 |
無 | 中 | 系統啟動載入程式 |
| CVE-2018-11302 | A-109741923 QC-CR#2209355 |
無 | 中 | WLAN 主機 |
| CVE-2018-5919 | A-65423852 QC-CR#2213280 |
無 | 中 | WLAN 主機 |
| CVE-2018-11818 | A-111127974 QC-CR#2170083 [2] |
無 | 中 | MDSS 驅動程式 |
| CVE-2018-11832 | A-111127793 QC-CR#2212896 |
無 | 中 | 核心 |
| CVE-2018-11893 | A-111127990 QC-CR#2231992 |
無 | 中 | WLAN 主機 |
| CVE-2018-11919 | A-79217930 QC-CR#2209134 [2] [3] |
無 | 中 | 核心 |
| CVE-2018-11939 | A-77237693 QC-CR#2254305 |
無 | 中 | WLAN 主機 |
| CVE-2018-11823 | A-112277122 QC-CR#2204519 |
無 | 中 | 電源 |
| CVE-2018-11929 | A-112277631 QC-CR#2231300 |
無 | 中 | WLAN 主機 |
| CVE-2018-11943 | A-72117228 QC-CR#2257823 |
無 | 中 | 系統啟動載入程式 |
| CVE-2018-11947 | A-112277911 QC-CR#2246110 [2] |
無 | 中 | WLAN 主機 |
| CVE-2018-11947 | A-112278406 QC-CR#2272696 |
無 | 中 | WLAN 主機 |
| CVE-2018-11942 | A-112278151 QC-CR#2257688 |
無 | 中 | WLAN 主機 |
| CVE-2018-11983 | A-80095430 QC-CR#2262576 |
無 | 中 | 核心 |
| CVE-2018-11984 | A-80435805 QC-CR#2266693 |
無 | 中 | 核心 |
| CVE-2018-11987 | A-70638103 QC-CR#2258691 |
無 | 中 | 核心 |
| CVE-2018-11985 | A-114041193 QC-CR#2163851 |
無 | 中 | 系統啟動載入程式 |
| CVE-2018-11988 | A-114041748 QC-CR#2172134 [2] |
無 | 中 | 核心 |
| CVE-2018-11986 | A-62916765 QC-CR#2266969 |
無 | 中 | 相機 |
| CVE-2018-12010 | A-62711756 QC-CR#2268386 |
無 | 中 | 核心 |
| CVE-2018-12006 | A-77237704 QC-CR#2257685 [2] |
無 | 中 | 螢幕 |
| CVE-2018-13893 | A-80302295 QC-CR#2291309 [2] |
無 | 中 | diag_mask |
| CVE-2018-12011 | A-109697864 QC-CR#2274853 |
無 | 中 | 核心 |
| CVE-2018-13912 | A-119053502 QC-CR#2283160 [2] |
無 | 中 | 相機 |
| CVE-2018-13913 | A-119053530 QC-CR#2286485 [2] |
無 | 中 | 螢幕 |
| CVE-2018-3564 | A-119052383 QC-CR#2225279 |
無 | 中 | DSP 服務 |
| CVE-2019-2248 | A-122474006 QC-CR#2328906 |
無 | 中 | 螢幕 |
| CVE-2019-2277 | A-127512945 QC-CR#2342812 |
無 | 中 | WLAN 主機 |
| CVE-2019-2263 | A-116024809 QC-CR#2076623 |
無 | 中 | 核心 |
| CVE-2019-2345 | A-110849476 QC-CR#2115578 |
無 | 中 | 相機 |
| CVE-2019-2306 | A-115907574 QC-CR#2337383 [2] |
無 | 中 | 螢幕 |
| CVE-2019-2299 | A-117988970 QC-CR#2243169 |
無 | 中 | WLAN 主機 |
| CVE-2019-2312 | A-117885392 QC-CR#2341890 |
無 | 中 | WLAN 主機 |
| CVE-2019-2314 | A-120028144 QC-CR#2357704 |
無 | 中 | 螢幕 |
| CVE-2019-2314 | A-120029095 QC-CR#2357704 |
無 | 中 | 螢幕 |
| CVE-2019-2302 | A-130565935 QC-CR#2300516 |
無 | 中 | WLAN 主機 |
| CVE-2019-10506 | A-117885703 QC-CR#2252793 |
無 | 中 | WLAN 主機 |
| CVE-2018-13890 | A-111274306 QC-CR#2288818 |
無 | 中 | WLAN 主機 |
| CVE-2019-10507 | A-132170503 QC-CR#2253396 |
無 | 中 | WLAN 主機 |
| CVE-2019-10508 | A-132173922 QC-CR#2288818 |
無 | 中 | WLAN 主機 |
| CVE-2019-2284 | A-132173427 QC-CR#2358765 |
無 | 中 | 相機 |
| CVE-2019-2333 | A-132171964 QC-CR#2381014 [2] [3] |
無 | 中 | 核心 |
| CVE-2019-2341 | A-132172264 QC-CR#2389324 [2] |
無 | 中 | 音訊 |
| CVE-2019-10497 | A-132173298 QC-CR#2395102 |
無 | 中 | 音訊 |
| CVE-2019-10542 | A-134440623 QC-CR#2359884 |
無 | 中 | WLAN 主機 |
| CVE-2019-10502 | A-134441002 QC-CR#2401297 [2] [3] |
無 | 中 | 相機 |
| CVE-2019-10528 | A-63528466 QC-CR#2133028 [2] |
無 | 中 | 核心 |
| CVE-2018-11825 | A-117985523 QC-CR#2205722 |
無 | 中 | WLAN 主機 |
| CVE-2019-10565 | A-129275872 QC-CR#2213706 |
無 | 中 | 相機 |
Qualcomm 封閉原始碼元件
| CVE | 參考資料 | 類型 | 嚴重程度 | 元件 |
|---|---|---|---|---|
| CVE-2018-11899 | A-69383398* | 無 | 中 | 封閉原始碼元件 |
| CVE-2019-2298 | A-118897119* | 無 | 中 | 封閉原始碼元件 |
| CVE-2019-2281 | A-129765896* | 無 | 中 | 封閉原始碼元件 |
| CVE-2019-2343 | A-130566880* | 無 | 中 | 封閉原始碼元件 |
功能修補程式
如需 Android 10 的各項功能相關說明,請參閱這篇文章。
常見問題與解答
如果您在閱讀這篇公告後有任何疑問,可參考本節的常見問答。
1. 如何判斷目前的裝置軟體版本已修正這些問題?
2019-09-05 之後的安全性修補程式等級完全解決了與 2019-09-05 安全性修補程式等級及所有先前修補程式等級相關的問題。請參閱 Google 裝置更新時間表中的操作說明,瞭解如何查看裝置的安全性修補程式等級。
2.「類型」欄中的項目代表什麼意義?
在安全漏洞詳情表中,「類型」欄中的項目代表安全漏洞類別。
| 縮寫 | 定義 |
|---|---|
| RCE | 遠端程式碼執行 |
| EoP | 權限提升 |
| ID | 資訊外洩 |
| DoS | 阻斷服務 |
| 無 | 未分類 |
3.「參考資料」欄底下列出的識別碼代表什麼意義?
在安全漏洞詳情表格中,「參考資料」欄底下的項目可能會包含一個前置字串,表示該參考資料值所屬的機構。
| 前置字串 | 參考資料 |
|---|---|
| A- | Android 錯誤 ID |
| QC- | Qualcomm 參考編號 |
| M- | MediaTek 參考編號 |
| N- | NVIDIA 參考編號 |
| B- | Broadcom 參考編號 |
4.「參考資料」欄中,Android 錯誤 ID 旁的星號 (*) 代表什麼?
在「參考資料」欄中,Android 錯誤 ID 旁邊標上星號 (*) 代表該問題並未公開,用於解決問題的更新通常會直接整合在 Pixel 裝置的最新二進位驅動程式。您可以前往 Google Developers 網站下載這些驅動程式。
5. 為什麼安全性漏洞會分別刊載在這份安全性公告和 Android 安全性公告?
如要宣告 Android 裝置的最新安全性修補程式等級,必須修正 Android 安全性公告中刊載的相關安全漏洞,其他安全漏洞 (例如本安全性公告所刊載的項目) 對於宣告安全性修補程式等級並非必要。
版本
| 版本 | 日期 | 附註 |
|---|---|---|
| 1.0 | 2019 年 9 月 3 日 | 發布公告。 |
| 1.1 | 2019 年 9 月 12 日 | 更新公告。 |