Publicado em 1º de abril de 2019 | Atualizado em 3 de abril de 2019
O Boletim de Segurança do Android contém detalhes das vulnerabilidades de segurança que afetam os dispositivos Android. Os níveis de patch de segurança de 2019-04-05 ou posterior abordam todos esses problemas. Para saber como verificar o nível de patch de segurança de um dispositivo, consulte Verificar e atualizar sua versão do Android .
Os parceiros Android são notificados de todos os problemas pelo menos um mês antes da publicação. Os patches de código-fonte para esses problemas foram lançados no repositório do Android Open Source Project (AOSP) e vinculados a este boletim. Este boletim também inclui links para patches fora do AOSP.
O mais grave desses problemas é uma vulnerabilidade de segurança crítica na estrutura de mídia que pode permitir que um invasor remoto usando um arquivo especialmente criado execute código arbitrário no contexto de um processo privilegiado. A avaliação de gravidade é baseada no efeito que a exploração da vulnerabilidade possivelmente teria em um dispositivo afetado, supondo que as atenuações da plataforma e do serviço sejam desativadas para fins de desenvolvimento ou se forem ignoradas com êxito.
Não tivemos relatos de exploração ativa de clientes ou abuso desses problemas relatados recentemente. Consulte a seção de mitigações do Android e do Google Play Protect para obter detalhes sobre as proteções da plataforma de segurança Android e o Google Play Protect, que melhoram a segurança da plataforma Android.
Observação: as informações sobre a atualização mais recente da atualização sem fio (OTA) e as imagens de firmware para dispositivos do Google estão disponíveis no Pixel Update Bulletin de abril de 2019 .
Mitigações de serviços Android e Google
Este é um resumo das mitigações fornecidas pela plataforma de segurança do Android e proteções de serviços, como o Google Play Protect . Esses recursos reduzem a probabilidade de vulnerabilidades de segurança serem exploradas com sucesso no Android.
- A exploração de muitos problemas no Android é dificultada pelos aprimoramentos nas versões mais recentes da plataforma Android. Incentivamos todos os usuários a atualizar para a versão mais recente do Android sempre que possível.
- A equipe de segurança do Android monitora ativamente o abuso por meio do Google Play Protect e avisa os usuários sobre aplicativos potencialmente prejudiciais . O Google Play Protect está ativado por padrão em dispositivos com Google Mobile Services e é especialmente importante para usuários que instalam aplicativos de fora do Google Play.
2019-04-01 detalhes da vulnerabilidade no nível do patch de segurança
Nas seções abaixo, fornecemos detalhes para cada uma das vulnerabilidades de segurança que se aplicam ao nível de patch 2019-04-01. As vulnerabilidades são agrupadas sob o componente que afetam. Há uma descrição do problema e uma tabela com o CVE, referências associadas, tipo de vulnerabilidade , gravidade e versões atualizadas do AOSP (quando aplicável). Quando disponível, vinculamos a alteração pública que abordou o problema ao ID do bug, como a lista de alterações do AOSP. Quando várias alterações estão relacionadas a um único bug, referências adicionais são vinculadas a números após o ID do bug.
Estrutura
A vulnerabilidade nesta seção pode permitir que um invasor local obtenha permissões adicionais ignoradas com a interação do usuário.
| CVE | Referências | Modelo | Gravidade | Versões AOSP atualizadas |
|---|---|---|---|---|
| CVE-2019-2026 | A-120866126 * | EoP | Alto | 8,0 |
Estrutura de mídia
A vulnerabilidade mais grave nesta seção pode permitir que um invasor remoto usando um arquivo especialmente criado execute código arbitrário no contexto de um processo privilegiado.
| CVE | Referências | Modelo | Gravidade | Versões AOSP atualizadas |
|---|---|---|---|---|
| CVE-2019-2027 | A-119120561 | RCE | Crítico | 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9 |
| CVE-2019-2028 | A-120644655 | RCE | Crítico | 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9 |
Sistema
A vulnerabilidade mais grave nesta seção pode permitir que um aplicativo mal-intencionado local execute código arbitrário no contexto de um processo privilegiado.
| CVE | Referências | Modelo | Gravidade | Versões AOSP atualizadas |
|---|---|---|---|---|
| CVE-2019-2030 | A-119496789 | EoP | Alto | 9 |
| CVE-2019-2031 | A-120502559 | EoP | Alto | 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9 |
| CVE-2019-2033 | A-121327565 [ 2 ] | EoP | Alto | 9 |
| CVE-2019-2034 | A-122035770 | EoP | Alto | 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9 |
| CVE-2019-2035 | A-122320256 | EoP | Alto | 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9 |
| CVE-2019-2038 | A-121259048 | EU IRIA | Alto | 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9 |
| CVE-2019-2039 | A-121260197 | EU IRIA | Alto | 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9 |
| CVE-2019-2040 | A-122316913 | EU IRIA | Alto | 9 |
2019-04-05 detalhes da vulnerabilidade no nível do patch de segurança
Nas seções abaixo, fornecemos detalhes para cada uma das vulnerabilidades de segurança que se aplicam ao nível de patch 2019-04-05. As vulnerabilidades são agrupadas sob o componente que afetam e incluem detalhes como o CVE, referências associadas, tipo de vulnerabilidade , gravidade , componente (quando aplicável) e versões atualizadas do AOSP (quando aplicável). Quando disponível, vinculamos a alteração pública que abordou o problema ao ID do bug, como a lista de alterações do AOSP. Quando várias alterações estão relacionadas a um único bug, referências adicionais são vinculadas a números após o ID do bug.
Sistema
A vulnerabilidade mais grave nesta seção pode permitir que um invasor remoto usando um arquivo especialmente criado execute código arbitrário no contexto de um processo privilegiado.
| CVE | Referências | Modelo | Gravidade | Versões AOSP atualizadas |
|---|---|---|---|---|
| CVE-2019-2029 | A-120612744 | RCE | Crítico | 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9 |
| CVE-2019-2032 | A-121145627 | EoP | Alto | 8,0, 8,1, 9 |
| CVE-2019-2041 | A-122034690 [ 2 ] [ 3 ] | EoP | Alto | 8.1, 9 |
| CVE-2019-2037 | A-119870451 | EU IRIA | Alto | 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9 |
Componentes da Qualcomm
Essas vulnerabilidades afetam os componentes da Qualcomm e são descritas com mais detalhes no boletim de segurança ou alerta de segurança apropriado da Qualcomm. A maioria dessas correções pode ser encontrada nos boletins de segurança da Qualcomm lançados em 2018. A avaliação da gravidade desses problemas é fornecida diretamente pela Qualcomm.
| CVE | Referências | Modelo | Gravidade | Componente |
|---|---|---|---|---|
| CVE-2018-11940 | A-79377832 QC-CR#2254946 | N / D | Crítico | ANFITRIÃO WLAN |
| CVE-2017-17772 | A-72957385 QC-CR#2153003 [ 2 ] | N / D | Alto | ANFITRIÃO WLAN |
| CVE-2018-11294 | A-109741680 QC-CR#2197481 | N / D | Alto | ANFITRIÃO WLAN |
| CVE-2018-5855 | A-77527719 QC-CR#2193421 | N / D | Alto | ANFITRIÃO WLAN |
| CVE-2018-11299 | A-109741946 QC-CR#2186953 | N / D | Alto | ANFITRIÃO WLAN |
| CVE-2018-11826 | A-111127853 QC-CR#2205957 | N / D | Alto | ANFITRIÃO WLAN |
| CVE-2018-11827 | A-111128575 QC-CR#2206569 | N / D | Alto | ANFITRIÃO WLAN |
| CVE-2018-11840 | A-111126050 QC-CR#2215443 | N / D | Alto | ANFITRIÃO WLAN |
| CVE-2018-11851 | A-111125792 QC-CR#2221902 | N / D | Alto | ANFITRIÃO WLAN |
| CVE-2018-11860 | A-111128301 QC-CR#2225113 | N / D | Alto | ANFITRIÃO WLAN |
| CVE-2018-11868 | A-111128420 QC-CR#2227248 | N / D | Alto | ANFITRIÃO WLAN |
| CVE-2018-11869 | A-111128838 QC-CR#2227263 | N / D | Alto | ANFITRIÃO WLAN |
| CVE-2018-11878 | A-111128797 QC-CR#2228608 | N / D | Alto | ANFITRIÃO WLAN |
| CVE-2018-11889 | A-111128421 QC-CR#2230998 | N / D | Alto | ANFITRIÃO WLAN |
| CVE-2018-11891 | A-111128578 QC-CR#2231767 | N / D | Alto | ANFITRIÃO WLAN |
| CVE-2018-11894 | A-111127989 QC-CR#2232358 | N / D | Alto | ANFITRIÃO WLAN |
| CVE-2018-11895 | A-111128877 QC-CR#2232542 | N / D | Alto | ANFITRIÃO WLAN |
| CVE-2018-11897 | A-111128841 QC-CR#2233033 | N / D | Alto | ANFITRIÃO WLAN |
| CVE-2018-11902 | A-111126532 QC-CR#2225604 | N / D | Alto | ANFITRIÃO WLAN |
| CVE-2018-11904 | A-111125111 QC-CR#2215446 | N / D | Alto | ANFITRIÃO WLAN |
| CVE-2018-11905 | A-112277221 QC-CR#2146878 | N / D | Alto | ANFITRIÃO WLAN |
| CVE-2018-11923 | A-112276863 QC-CR#2224443 | N / D | Alto | ANFITRIÃO WLAN |
| CVE-2018-11924 | A-112278150 QC-CR#2224451 | N / D | Alto | ANFITRIÃO WLAN |
| CVE-2018-11925 | A-112277910 QC-CR#2226375 [ 2 ] | N / D | Alto | ANFITRIÃO WLAN |
| CVE-2018-11927 | A-112277186 QC-CR#2227076 | N / D | Alto | ANFITRIÃO WLAN |
| CVE-2018-11930 | A-112278861 QC-CR#2231770 | N / D | Alto | ANFITRIÃO WLAN |
| CVE-2018-11937 | A-112277891 QC-CR#2245944 | N / D | Alto | ANFITRIÃO WLAN |
| CVE-2018-11949 | A-112278405 QC-CR#2249815 | N / D | Alto | ANFITRIÃO WLAN |
| CVE-2018-11953 | A-112277852 QC-CR#2235576 | N / D | Alto | ANFITRIÃO WLAN |
| CVE-2018-13920 | A-120487136 * QC-CR#2293841 | N / D | Alto | Núcleo |
Componentes de código fechado da Qualcomm
Essas vulnerabilidades afetam os componentes da Qualcomm e são descritas com mais detalhes no boletim de segurança ou alerta de segurança apropriado da Qualcomm. A avaliação da gravidade desses problemas é fornecida diretamente pela Qualcomm.
| CVE | Referências | Modelo | Gravidade | Componente |
|---|---|---|---|---|
| CVE-2018-11271 | A-120487384 * | N / D | Crítico | Componente de código fechado |
| CVE-2018-11976 | A-117119000 * | N / D | Crítico | Componente de código fechado |
| CVE-2018-12004 | A-117118976 * | N / D | Crítico | Componente de código fechado |
| CVE-2018-13886 | A-117118295 * | N / D | Crítico | Componente de código fechado |
| CVE-2018-13887 | A-117119172 * | N / D | Crítico | Componente de código fechado |
| CVE-2019-2250 | A-122473270 * | N / D | Crítico | Componente de código fechado |
| CVE-2018-11291 | A-109678120 * | N / D | Alto | Componente de código fechado |
| CVE-2018-11821 | A-111093019 * | N / D | Alto | Componente de código fechado |
| CVE-2018-11822 | A-111092813 * | N / D | Alto | Componente de código fechado |
| CVE-2018-11828 | A-111089816 * | N / D | Alto | Componente de código fechado |
| CVE-2018-11849 | A-111092945 * | N / D | Alto | Componente de código fechado |
| CVE-2018-11850 | A-111092919 * | N / D | Alto | Componente de código fechado |
| CVE-2018-11853 | A-111091938 * | N / D | Alto | Componente de código fechado |
| CVE-2018-11854 | A-111093762 * | N / D | Alto | Componente de código fechado |
| CVE-2018-11856 | A-111093242 * | N / D | Alto | Componente de código fechado |
| CVE-2018-11859 | A-111090373 * | N / D | Alto | Componente de código fechado |
| CVE-2018-11861 | A-111092814 * | N / D | Alto | Componente de código fechado |
| CVE-2018-11862 | A-111093763 * | N / D | Alto | Componente de código fechado |
| CVE-2018-11867 | A-111093243 * | N / D | Alto | Componente de código fechado |
| CVE-2018-11870 | A-111089817 * | N / D | Alto | Componente de código fechado |
| CVE-2018-11871 | A-111092400 * | N / D | Alto | Componente de código fechado |
| CVE-2018-11872 | A-111090534 * | N / D | Alto | Componente de código fechado |
| CVE-2018-11873 | A-111091378 * | N / D | Alto | Componente de código fechado |
| CVE-2018-11874 | A-111092946 * | N / D | Alto | Componente de código fechado |
| CVE-2018-11875 | A-111093022 * | N / D | Alto | Componente de código fechado |
| CVE-2018-11876 | A-111093244 * | N / D | Alto | Componente de código fechado |
| CVE-2018-11877 | A-111092888 * | N / D | Alto | Componente de código fechado |
| CVE-2018-11879 | A-111093280 * | N / D | Alto | Componente de código fechado |
| CVE-2018-11880 | A-111092401 * | N / D | Alto | Componente de código fechado |
| CVE-2018-11882 | A-111093259 * | N / D | Alto | Componente de código fechado |
| CVE-2018-11884 | A-111090535 * | N / D | Alto | Componente de código fechado |
| CVE-2018-11928 | A-112279580 * | N / D | Alto | Componente de código fechado |
| CVE-2018-11936 | A-112279127 * | N / D | Alto | Componente de código fechado |
| CVE-2018-11967 | A-119049704 * | N / D | Alto | Componente de código fechado |
| CVE-2018-11967 | A-119052960 * | N / D | Alto | Componente de código fechado |
| CVE-2018-11968 | A-114042276 * | N / D | Alto | Componente de código fechado |
| CVE-2018-12005 | A-117118499 * | N / D | Alto | Componente de código fechado |
| CVE-2018-12012 | A-117119174 * | N / D | Alto | Componente de código fechado |
| CVE-2018-12013 | A-117119152 * | N / D | Alto | Componente de código fechado |
| CVE-2018-13885 | A-117118789 * | N / D | Alto | Componente de código fechado |
| CVE-2018-13895 | A-122472377 * | N / D | Alto | Componente de código fechado |
| CVE-2018-13925 | A-120483842 * | N / D | Alto | Componente de código fechado |
| CVE-2019-2244 | A-122472139 * | N / D | Alto | Componente de código fechado |
| CVE-2019-2245 | A-122473145 * | N / D | Alto | Componente de código fechado |
Perguntas e respostas comuns
Esta seção responde a perguntas comuns que podem ocorrer após a leitura deste boletim.
1. Como determino se meu dispositivo está atualizado para resolver esses problemas?
Para saber como verificar o nível de patch de segurança de um dispositivo, consulte Verificar e atualizar sua versão do Android .
- Os níveis de patch de segurança de 2019-04-01 ou posterior abordam todos os problemas associados ao nível de patch de segurança 2019-04-01.
- Os níveis de patch de segurança de 2019-04-05 ou posterior abordam todos os problemas associados ao nível de patch de segurança 2019-04-05 e todos os níveis de patch anteriores.
Os fabricantes de dispositivos que incluem essas atualizações devem definir o nível da string de patch para:
- [ro.build.version.security_patch]:[2019-04-01]
- [ro.build.version.security_patch]:[2019-04-05]
2. Por que este boletim tem dois níveis de patch de segurança?
Este boletim tem dois níveis de patch de segurança para que os parceiros Android tenham a flexibilidade de corrigir um subconjunto de vulnerabilidades semelhantes em todos os dispositivos Android mais rapidamente. Os parceiros Android são incentivados a corrigir todos os problemas neste boletim e usar o nível de patch de segurança mais recente.
- Os dispositivos que usam o nível de patch de segurança 2019-04-01 devem incluir todos os problemas associados a esse nível de patch de segurança, bem como correções para todos os problemas relatados em boletins de segurança anteriores.
- Os dispositivos que usam o nível de patch de segurança de 2019-04-05 ou mais recente devem incluir todos os patches aplicáveis neste (e anteriores) boletins de segurança.
Os parceiros são incentivados a agrupar as correções para todos os problemas que estão abordando em uma única atualização.
3. O que significam as entradas na coluna Tipo ?
As entradas na coluna Tipo da tabela de detalhes da vulnerabilidade fazem referência à classificação da vulnerabilidade de segurança.
| Abreviação | Definição |
|---|---|
| RCE | Execução remota de código |
| EoP | Elevação de privilégio |
| EU IRIA | Divulgação de informação |
| DoS | Negação de serviço |
| N / D | Classificação não disponível |
4. O que significam as entradas na coluna Referências ?
As entradas na coluna Referências da tabela de detalhes da vulnerabilidade podem conter um prefixo que identifica a organização à qual o valor de referência pertence.
| Prefixo | Referência |
|---|---|
| UMA- | ID do bug do Android |
| CQ- | Número de referência da Qualcomm |
| M- | Número de referência da MediaTek |
| N- | Número de referência da NVIDIA |
| B- | Número de referência da Broadcom |
5. O que significa um * ao lado do ID do bug do Android na coluna Referências ?
Os problemas que não estão disponíveis publicamente têm um * ao lado do ID do bug do Android na coluna Referências . A atualização para esse problema geralmente está contida nos drivers binários mais recentes para dispositivos Pixel disponíveis no site do Google Developer .
6. Por que as vulnerabilidades de segurança são divididas entre este boletim e os boletins de segurança do dispositivo/parceiro, como o boletim Pixel?
As vulnerabilidades de segurança documentadas neste boletim de segurança são necessárias para declarar o nível de patch de segurança mais recente em dispositivos Android. Vulnerabilidades de segurança adicionais documentadas nos boletins de segurança do dispositivo/parceiro não são necessárias para declarar um nível de patch de segurança. Os fabricantes de dispositivos e chipsets Android são incentivados a documentar a presença de outras correções em seus dispositivos por meio de seus próprios sites de segurança, como os boletins de segurança Samsung , LGE ou Pixel .
Versões
| Versão | Encontro | Notas |
|---|---|---|
| 1,0 | 1º de abril de 2019 | Boletim publicado |
| 1.1 | 3 de abril de 2019 | Boletim revisado para incluir links AOSP |