Дата публикации: 1 марта 2021 г. | Дата обновления: 3 марта 2021 г.
В этом бюллетене содержится информация об уязвимостях в защите и об улучшениях функциональных возможностей поддерживаемых устройств Pixel (устройств Google). Все проблемы, перечисленные здесь и в бюллетене по безопасности Android за март 2021 года, устранены в исправлении 2021-03-05 или более новых. Информацию о том, как проверить уровень исправления системы безопасности на устройстве, можно найти в статье об обновлении версии Android.
Исправление системы безопасности 2021-03-05 получат все поддерживаемые устройства Google. Мы настоятельно рекомендуем пользователям установить это обновление.
Объявления
- Помимо исправлений уязвимостей, описанных в бюллетене по безопасности Android за март 2021 года, обновления для устройств Google содержат также исправления проблем, перечисленных ниже. Партнеры были уведомлены об этих проблемах и могут включить их исправления в свои обновления системы безопасности.
Исправления для системы безопасности
Уязвимости сгруппированы по компонентам, которые они затрагивают. Для каждого случая приведены описание и таблица, где указаны CVE, ссылки, тип уязвимости, уровень серьезности и, если применимо, версии AOSP. Где возможно, мы добавляем к идентификатору ошибки ссылку на опубликованное изменение (например, список AOSP). Если таких изменений несколько, дополнительные ссылки указываются в квадратных скобках.
Framework
| CVE | Ссылки | Тип | Уровень серьезности | Обновленные версии AOSP |
|---|---|---|---|---|
| CVE-2021-0376 | A-115619667 [2] | EoP | Высокий | 11 |
| CVE-2021-0375 | A-167261484 | EoP | Средний | 11 |
| CVE-2021-0387 | A-169421939 | EoP | Средний | 11 |
| CVE-2021-0369 | A-166561076 | ID | Средний | 11 |
| CVE-2021-0381 | A-153466381 | ID | Средний | 11 |
| CVE-2021-0382 | A-140727941 | ID | Средний | 11 |
Media Framework
| CVE | Ссылки | Тип | Уровень серьезности | Обновленные версии AOSP |
|---|---|---|---|---|
| CVE-2021-0368 | A-169829774* | ID | Средний | 11 |
| CVE-2021-0374 | A-169572641 | ID | Средний | 11 |
| CVE-2021-0378 | A-154076193 | ID | Средний | 11 |
| CVE-2021-0379 | A-154075955 | ID | Средний | 11 |
Система
| CVE | Ссылки | Тип | Уровень серьезности | Обновленные версии AOSP |
|---|---|---|---|---|
| CVE-2020-0025 | A-135604684 | EoP | Высокий | 11 |
| CVE-2021-0370 | A-169259605 | EoP | Средний | 11 |
| CVE-2021-0372 | A-174047735 | EoP | Средний | 11 |
| CVE-2021-0377 | A-160800689 | EoP | Средний | 11 |
| CVE-2021-0380 | A-172459128 [2] [3] | EoP | Средний | 11 |
| CVE-2021-0383 | A-160871056 | EoP | Средний | 11 |
| CVE-2021-0385 | A-172584372 | EoP | Средний | 11 |
| CVE-2021-0386 | A-173421110 | EoP | Средний | 11 |
| CVE-2021-0388 | A-162741489 | EoP | Средний | 11 |
| CVE-2021-0389 | A-168039904 | EoP | Средний | 11 |
| CVE-2021-0371 | A-164440989 | ID | Средний | 11 |
Компоненты ядра
| CVE | Ссылки | Тип | Уровень серьезности | Компонент |
|---|---|---|---|---|
| CVE-2021-0454 | A-175117047* | EoP | Высокий | Titan M |
| CVE-2021-0455 | A-175116439* | EoP | Высокий | Titan M |
| CVE-2021-0456 | A-174769927* | EoP | Высокий | Titan M |
| CVE-2021-0464 | A-167663878* | EoP | Высокий | Аудиосервер |
| CVE-2021-0465 | A-172005755* | EoP | Высокий | Камера |
| CVE-2021-0463 | A-154867068* | ID | Высокий | Камера |
| CVE-2021-0457 | A-157155375* | EoP | Средний | Сенсор |
| CVE-2021-0458 | A-157156744* | EoP | Средний | Сенсор |
| CVE-2021-0461 | A-175124074* | EoP | Средний | Neural Core |
| CVE-2021-0462 | A-168799695* | EoP | Средний | NFC |
| CVE-2020-25211 | A-161151152 Upstream kernel |
ID | Средний | Netfilter |
| CVE-2021-0449 | A-175117965* | ID | Средний | Titan M |
| CVE-2021-0450 | A-175117880* | ID | Средний | Titan M |
| CVE-2021-0451 | A-175117871* | ID | Средний | Titan M |
| CVE-2021-0452 | A-175117261* | ID | Средний | Titan M |
| CVE-2021-0453 | A-175117199* | ID | Средний | Titan M |
| CVE-2021-0459 | A-157154534* | ID | Средний | Сенсор |
| CVE-2021-0460 | A-156739245* | ID | Средний | Сенсор |
Компоненты Qualcomm
| CVE | Ссылки | Тип | Уровень серьезности | Компонент |
|---|---|---|---|---|
| CVE-2020-11230 | A-168052057 QC-CR#2486632 [2] |
Н/Д | Средний | Ядро |
Компоненты Qualcomm с закрытым исходным кодом
| CVE | Ссылки | Тип | Уровень серьезности | Компонент |
|---|---|---|---|---|
| CVE-2020-3664 | A-162843453* | Н/Д | Средний | Компонент с закрытым исходным кодом |
Исправления функциональных возможностей
Подробная информация об исправлениях ошибок и улучшениях функциональных возможностей, включенных в этот выпуск, доступна на форуме сообщества Pixel.
Часто задаваемые вопросы
В этом разделе мы отвечаем на вопросы, которые могут возникнуть после прочтения бюллетеня.
1. Как определить, установлено ли на устройство обновление, в котором устранены перечисленные проблемы?
В исправлении 2021-03-05 и более новых устранены все проблемы, соответствующие исправлению системы безопасности 2021-03-05 и всем предыдущим исправлениям. Информацию о том, как проверить уровень исправления системы безопасности на устройстве, можно найти в статье о сроках обновления ПО.
2. Что означают сокращения в столбце Тип?
В этом столбце указан тип уязвимости по следующей классификации:
| Сокращение | Описание |
|---|---|
| RCE | Удаленное выполнение кода |
| EoP | Повышение привилегий |
| ID | Раскрытие информации |
| DoS | Отказ в обслуживании |
| Н/Д | Классификация недоступна |
3. Что означает информация в столбце Ссылки?
В таблицах с описанием уязвимостей есть столбец Ссылки. Каждая запись в нем может содержать префикс, указывающий на источник ссылки, а именно:
| Префикс | Значение |
|---|---|
| A- | Идентификатор ошибки Android |
| QC- | Ссылочный номер Qualcomm |
| M- | Ссылочный номер MediaTek |
| N- | Ссылочный номер NVIDIA |
| B- | Ссылочный номер Broadcom |
4. Что означает символ * рядом с идентификатором ошибки Android в столбце Ссылки?
Символ * означает, что исправление для уязвимости не опубликовано. Необходимое обновление обычно содержится в последних исполняемых файлах драйверов для устройств Pixel, которые можно скачать с сайта Google Developers.
5. Почему одни уязвимости описываются в этом бюллетене, а другие – в бюллетенях по безопасности Android?
В бюллетене по безопасности Android приведены уязвимости, которые нужно устранить для соответствия последнему уровню исправления системы безопасности Android. Решать для этого другие проблемы, например перечисленные здесь, необязательно.
Версии
| Версия | Дата | Примечания |
|---|---|---|
| 1.0 | 1 марта 2021 г. | Бюллетень выпущен. |
| 1.1 | 3 марта 2021 г. | Добавлены ссылки на AOSP. |