Дата публикации: 7 октября 2019 г. | Дата обновления: 29 июня 2020 г.
В этом бюллетене содержится информация об уязвимостях в защите и об улучшениях функциональных возможностей поддерживаемых устройств Pixel (устройств Google). Все проблемы устройств Google, перечисленные здесь и в бюллетене по безопасности Android за октябрь 2019 года, устранены в исправлении 2019-10-05 и более новых. Сведения о том, как проверить уровень исправления системы безопасности на устройстве, можно найти в статье о сроках обновления ПО.
Исправление системы безопасности 2019-10-05 получат все поддерживаемые устройства Google. Мы настоятельно рекомендуем пользователям установить это обновление.
Объявления
- Устройства Pixel 1 и Pixel 2 в рамках обновления за октябрь получат исправление для уязвимости CVE-2019-2215. На устройствах Pixel 3 и Pixel 3a эта уязвимость отсутствует.
- Помимо исправлений уязвимостей, описанных в бюллетене по безопасности Android за октябрь 2019 года, обновления для устройств Google содержат также исправления проблем, перечисленных ниже. Партнеры были уведомлены об этих проблемах не менее месяца назад и могут включить их исправления в свои обновления системы безопасности.
Исправления системы безопасности
Уязвимости сгруппированы по компонентам, которые они затрагивают. Для каждого случая приведены описание и таблица, где указаны CVE, ссылки, тип уязвимости, уровень серьезности и, если применимо, версии AOSP. Где возможно, мы добавляем к идентификатору ошибки ссылку на опубликованное изменение (например, список AOSP). Если таких изменений несколько, дополнительные ссылки указываются в квадратных скобках.
Framework
| CVE | Ссылки | Тип | Уровень серьезности | Компонент |
|---|---|---|---|---|
| CVE-2019-2183 | A-136261465 | ID | Высокий | RegisteredServicesCache |
Компоненты Qualcomm
| CVE | Ссылки | Тип | Уровень серьезности | Компонент |
|---|---|---|---|---|
| CVE-2018-11934 | A-73173201 QC-CR#2237661 |
Н/Д | Средний | Хост WLAN |
| CVE-2019-2247 | A-122475456 QC-CR#2328472 |
Н/Д | Средний | Ядро |
| CVE-2019-2297 | A-117937358 QC-CR#2205722 |
Н/Д | Средний | Хост WLAN |
| CVE-2019-10563 | A-136501612 QC-CR#2213655 |
Н/Д | Средний | Хост WLAN |
| CVE-2019-10566 | A-112432329 QC-CR#2312995 |
Н/Д | Средний | Хост WLAN |
Улучшения функциональных возможностей
В эти обновления включены исправления проблем, касающихся функциональных возможностей устройств Google. Они не связаны с уязвимостями в защите. В таблице приведены ссылки, категория обновления, например Bluetooth или мобильный интернет, и описание улучшения, а также сведения об устройствах, для которых предназначены исправления.
| Ссылки | Категория | Описание | Устройства |
|---|---|---|---|
| A-138482990 | Подключение | Повышена стабильность работы Wi-Fi | Pixel, Pixel XL, Pixel 2, Pixel 2 XL, Pixel 3, Pixel 3 XL, Pixel 3a, Pixel 3a XL |
| A-139096431 | Pixel Stand | Исправлены проблемы с уведомлениями в режиме Pixel Stand | Pixel 3, Pixel 3 XL |
| A-140632869 | Датчики | Улучшена калибровка датчиков | Pixel 3, Pixel 3 XL |
| A-140111727 | Система | Повышена стабильность работы | Pixel, Pixel XL, Pixel 2, Pixel 2 XL, Pixel 3, Pixel 3 XL, Pixel 3a, Pixel 3a XL |
| A-138323667 | Пользовательский интерфейс | Устранена утечка памяти | Pixel, Pixel XL, Pixel 2, Pixel 2 XL, Pixel 3, Pixel 3 XL, Pixel 3a, Pixel 3a XL |
| A-138775282 | Пользовательский интерфейс | Устранены проблемы с предупреждениями | Pixel, Pixel XL, Pixel 2, Pixel 2 XL, Pixel 3, Pixel 3 XL, Pixel 3a, Pixel 3a XL |
| A-138881088 | Пользовательский интерфейс | Улучшена навигация с помощью жестов | Pixel, Pixel XL, Pixel 2, Pixel 2 XL, Pixel 3, Pixel 3 XL, Pixel 3a, Pixel 3a XL |
| A-140197723 | Пользовательский интерфейс | Исключен переход к циклу перезагрузки для отдельных языков | Pixel, Pixel XL, Pixel 2, Pixel 2 XL, Pixel 3, Pixel 3 XL, Pixel 3a, Pixel 3a XL |
Часто задаваемые вопросы
В этом разделе мы отвечаем на вопросы, которые могут возникнуть после прочтения бюллетеня.
1. Как определить, установлено ли на устройство обновление, в котором устранены перечисленные проблемы?
В исправлении 2019-10-05 и более новых устранены все проблемы, соответствующие исправлению системы безопасности 2019-10-05 и всем предыдущим исправлениям. Сведения о том, как проверить уровень исправления системы безопасности на устройстве, можно найти в статье о сроках обновления ПО.
2. Что означают сокращения в столбце Тип?
В этом столбце указан тип уязвимости по следующей классификации:
| Сокращение | Описание |
|---|---|
| RCE | Удаленное выполнение кода |
| EoP | Повышение привилегий |
| ID | Раскрытие информации |
| DoS | Отказ в обслуживании |
| Н/Д | Классификация недоступна |
3. Что означает информация в столбце Ссылки?
В таблицах с описанием уязвимостей есть столбец Ссылки. Каждая запись в нем может содержать префикс, указывающий на источник ссылки, а именно:
| Префикс | Значение |
|---|---|
| A- | Идентификатор ошибки Android |
| QC- | Ссылочный номер Qualcomm |
| M- | Ссылочный номер MediaTek |
| N- | Ссылочный номер NVIDIA |
| B- | Ссылочный номер Broadcom |
4. Что означает символ * рядом с идентификатором ошибки Android в столбце Ссылки?
Символ * означает, что исправление для уязвимости не опубликовано. Необходимое обновление обычно содержится в последних исполняемых файлах драйверов для устройств Pixel, которые можно скачать с сайта Google Developers.
5. Почему теперь одни уязвимости описываются в этом бюллетене, а другие – в бюллетенях по безопасности Android?
В бюллетенях по безопасности Android описываются уязвимости, которые необходимо устранить для соответствия последнему уровню исправления системы безопасности Android. Решать дополнительные проблемы, например перечисленные здесь, для этого не требуется.
Версии
| Версия | Дата | Примечания |
|---|---|---|
| 1.0 | 7 октября 2019 г. | Бюллетень опубликован. |
| 1.1 | 29 июня 2020 г. | Изменена таблица с идентификаторами CVE. |