بولتن به‌روزرسانی پیکسل - ژانویه 2020

منتشر شده در 6 ژانویه 2020

Pixel Update Bulletin حاوی جزئیات آسیب‌پذیری‌های امنیتی و بهبودهای عملکردی است که بر دستگاه‌های Pixel پشتیبانی‌شده (دستگاه‌های Google) تأثیر می‌گذارد. برای دستگاه‌های Google، سطوح وصله امنیتی 01-01-2020 یا جدیدتر، حداقل به همه مشکلات موجود در این بولتن و همه مسائل مرتبط با سطح وصله امنیتی 01-01-2020 در بولتن امنیتی Android ژانویه 2020 رسیدگی می‌کند. برای آشنایی با نحوه بررسی سطح وصله امنیتی دستگاه، به بررسی و به‌روزرسانی نسخه Android خود مراجعه کنید.

همه دستگاه‌های پشتیبانی‌شده Google یک به‌روزرسانی به سطح وصله 01-01-2020 دریافت خواهند کرد. ما همه مشتریان را تشویق می کنیم که این به روز رسانی ها را برای دستگاه های خود بپذیرند.

اطلاعیه ها

  • علاوه بر آسیب‌پذیری‌های امنیتی 01-01-2020 که در بولتن امنیتی اندروید ژانویه 2020 توضیح داده شده است، دستگاه‌های Google همچنین دارای وصله‌هایی برای آسیب‌پذیری‌های امنیتی شرح داده شده در زیر هستند. شرکا حداقل یک ماه پیش از این مشکلات مطلع شدند و ممکن است انتخاب کنند که آنها را به عنوان بخشی از به‌روزرسانی‌های دستگاه خود بگنجانند.

وصله های امنیتی

آسیب پذیری ها تحت مؤلفه ای که بر آن تأثیر می گذارند گروه بندی می شوند. شرحی از مشکل و جدولی با CVE، مراجع مرتبط، نوع آسیب‌پذیری ، شدت و نسخه‌های به‌روزرسانی‌شده پروژه منبع باز Android (AOSP) (در صورت لزوم) وجود دارد. هنگامی که در دسترس باشد، تغییر عمومی را که مشکل را حل کرده است، مانند لیست تغییرات AOSP، به شناسه اشکال مرتبط می کنیم. هنگامی که تغییرات متعدد به یک باگ مربوط می شود، ارجاعات اضافی به اعدادی که پس از شناسه اشکال مرتبط هستند، مرتبط می شوند.

اجزای هسته

شدیدترین آسیب‌پذیری در این بخش می‌تواند یک مهاجم نزدیک را با استفاده از یک انتقال ساخته‌شده خاص قادر به اجرای کد دلخواه در چارچوب یک فرآیند ممتاز کند.

CVE منابع تایپ کنید شدت جزء
CVE-2019-17666 الف-142967706
هسته بالادست
RCE بحرانی درایور Realtek rtlwifi
CVE-2018-20856 الف-138921316
هسته بالادست
EoP بالا هسته
CVE-2019-15214 الف-140920734
هسته بالادست
EoP بالا زیرسیستم صدا
CVE-2020-0009 الف-142938932 * EoP بالا آشمم

قطعات کوالکام

این آسیب‌پذیری‌ها بر اجزای کوالکام تأثیر می‌گذارند و با جزئیات بیشتر در بولتن امنیتی یا هشدار امنیتی کوالکام توضیح داده شده‌اند. ارزیابی شدت این مسائل به طور مستقیم توسط کوالکام ارائه شده است.

CVE منابع تایپ کنید شدت جزء
CVE-2018-11843 الف-111126051
QC-CR#2216751
N/A بالا میزبان WLAN
CVE-2019-10558 الف-142268223
QC-CR#2355428
N/A بالا هسته
CVE-2019-10581 الف-142267478
QC-CR#2451619
N/A بالا سمعی
CVE-2019-10585 الف-142267685
QC-CR#2457975
N/A بالا هسته
CVE-2019-10602 الف-142270161
QC-CR#2165926 [ 2 ]
N/A بالا نمایش دادن
CVE-2019-10606 الف-142269492
QC-CR#2192810 [ 2 ]
N/A بالا هسته
CVE-2019-14010 الف-142269847
QC-CR#2465851 [ 2 ]
N/A بالا سمعی
CVE-2019-14023 الف-142270139
QC-CR#2493328
N/A بالا هسته
CVE-2019-14024 الف-142269993
QC-CR#2494103
N/A بالا NFC
CVE-2019-14034 الف-142270258
QC-CR#2491649 [ 2 ] [ 3 ]
N/A بالا دوربین
CVE-2019-14036 الف-142269832
QC-CR#2200862
N/A بالا میزبان WLAN
CVE-2019-2293 الف-129852075
QC-CR#2245982
N/A در حد متوسط دوربین
CVE-2019-10486 الف-136500978
QC-CR#2362627 [ 2 ]
N/A در حد متوسط دوربین
CVE-2019-10503 الف-136501052
QC-CR#2379514 [ 2 ]
N/A در حد متوسط دوربین
CVE-2019-10494 الف-120975505
QC-CR#2376566
N/A در حد متوسط دوربین

اجزای منبع بسته کوالکام

این آسیب‌پذیری‌ها بر اجزای منبع بسته کوالکام تأثیر می‌گذارند و در بولتن امنیتی یا هشدار امنیتی مناسب کوالکام با جزئیات بیشتر توضیح داده شده‌اند. ارزیابی شدت این مسائل به طور مستقیم توسط کوالکام ارائه شده است.

CVE منابع تایپ کنید شدت جزء
CVE-2019-2267 الف-132108182 * N/A بالا جزء منبع بسته
CVE-2019-10548 الف-137030896 * N/A بالا جزء منبع بسته
CVE-2019-10532 الف-142271634 * N/A بالا جزء منبع بسته
CVE-2019-10578 A-142268949 * N/A بالا جزء منبع بسته
CVE-2019-10579 الف-142271692 * N/A بالا جزء منبع بسته
CVE-2019-10582 A-130574302 * N/A بالا جزء منبع بسته
CVE-2019-10583 الف-131180394 * N/A بالا جزء منبع بسته
CVE-2019-10611 الف-142271615 * N/A بالا جزء منبع بسته
CVE-2019-14002 الف-142271274 * N/A بالا جزء منبع بسته
CVE-2019-14003 الف-142271498 * N/A بالا جزء منبع بسته
CVE-2019-14004 الف-142271848 * N/A بالا جزء منبع بسته
CVE-2019-14005 A-142271965 * N/A بالا جزء منبع بسته
CVE-2019-14006 A-142271827 * N/A بالا جزء منبع بسته
CVE-2019-14008 A-142271609 * N/A بالا جزء منبع بسته
CVE-2019-14013 A-142271944 * N/A بالا جزء منبع بسته
CVE-2019-14014 A-142270349 * N/A بالا جزء منبع بسته
CVE-2019-14016 A-142270646 * N/A بالا جزء منبع بسته
CVE-2019-14017 الف-142271515 * N/A بالا جزء منبع بسته

وصله های کاربردی

برای جزئیات در مورد رفع اشکال جدید و وصله‌های کاربردی موجود در این نسخه، به انجمن Pixel مراجعه کنید.

پرسش و پاسخ متداول

این بخش به سوالات متداولی که ممکن است پس از خواندن این بولتن رخ دهد پاسخ می دهد.

1. چگونه تشخیص دهم که آیا دستگاه من برای رفع این مشکلات به روز شده است؟

سطوح وصله امنیتی 2020-01-01 یا جدیدتر، تمام مسائل مرتبط با سطح وصله امنیتی 2020-01-01 و تمام سطوح وصله قبلی را برطرف می کند. برای آشنایی با نحوه بررسی سطح وصله امنیتی دستگاه، دستورالعمل‌های زمان‌بندی به‌روزرسانی دستگاه Google را بخوانید.

2. ورودی های ستون Type به چه معناست؟

ورودی های ستون نوع جدول جزئیات آسیب پذیری به طبقه بندی آسیب پذیری امنیتی اشاره دارد.

مخفف تعریف
RCE اجرای کد از راه دور
EoP بالا بردن امتیاز
شناسه افشای اطلاعات
DoS خود داری از خدمات
N/A طبقه بندی در دسترس نیست

3. ورودی های ستون References به چه معناست؟

ورودی‌های زیر ستون مراجع جدول جزئیات آسیب‌پذیری ممکن است حاوی پیشوندی باشد که سازمانی را که مقدار مرجع به آن تعلق دارد، مشخص می‌کند.

پیشوند ارجاع
آ- شناسه باگ اندروید
QC- شماره مرجع کوالکام
M- شماره مرجع مدیاتک
N- شماره مرجع NVIDIA
ب- شماره مرجع Broadcom

4. یک * در کنار شناسه باگ اندروید در ستون References به چه معناست؟

مسائلی که به صورت عمومی در دسترس نیستند دارای یک * در کنار شناسه اشکال Android در ستون References هستند. به‌روزرسانی برای آن مشکل عموماً در آخرین درایورهای باینری دستگاه‌های Pixel موجود در سایت Google Developer موجود است.

5. چرا آسیب پذیری های امنیتی بین این بولتن و بولتن های امنیتی اندروید تقسیم شده است؟

آسیب‌پذیری‌های امنیتی که در بولتن‌های امنیتی Android مستند شده‌اند، برای اعلام آخرین سطح وصله امنیتی در دستگاه‌های Android مورد نیاز هستند. آسیب‌پذیری‌های امنیتی اضافی، مانند موارد مستند شده در این بولتن، برای اعلام سطح وصله امنیتی لازم نیست.

نسخه ها

نسخه تاریخ یادداشت
1.0 6 ژانویه 2020 بولتن منتشر شد.