Бюллетень по безопасности Android – май 2019 г.

Опубликован 6 мая 2019 г. | Обновлен 6 мая 2019 г.

В этом бюллетене по безопасности содержится информация об уязвимостях в защите устройств Android. Все перечисленные здесь проблемы устранены в исправлении от 5 мая 2019 года или более позднем. Информацию о том, как проверить версию системы безопасности на своем устройстве, можно найти в статье Справочного центра.

Мы сообщаем партнерам обо всех проблемах не менее чем за месяц до выхода бюллетеня. Исправления уязвимостей доступны в хранилище Android Open Source Project (AOSP). В этом бюллетене приведены ссылки на все исправления, в том числе расположенные вне AOSP.

Самая серьезная проблема – критическая уязвимость в Media Framework, которая в случае использования могла бы позволить злоумышленникам удаленно выполнить произвольный код в контексте привилегированного процесса с помощью специально созданного файла. Уровень серьезности зависит от того, какой ущерб будет нанесен устройству, если злоумышленник воспользуется уязвимостью и сможет обойти средства защиты или их отключит разработчик.

Мы не получали сообщений об использовании недавно обнаруженных уязвимостей. Сведения о том, как платформа безопасности Android и Google Play Защита помогают снизить вероятность успешного использования уязвимостей Android, можно найти в разделе Предотвращение атак.

Примечание. Информация о последних беспроводных обновлениях и образах встроенного ПО для устройств Google содержится в бюллетене по обновлениям Pixel  за май 2019 года.

Предотвращение атак

Здесь описано, как платформа безопасности Android и средства защиты сервисов, например Google Play Защита, позволяют снизить вероятность успешного использования уязвимостей Android.

  • В новых версиях Android сложнее использовать многие уязвимости, поэтому мы рекомендуем всем пользователям своевременно обновлять систему.
  • Команда, отвечающая за безопасность Android, активно отслеживает случаи злоупотребления с помощью Google Play Защиты и предупреждает пользователей об установке потенциально опасных приложений. Google Play Защита по умолчанию включена на телефонах и планшетах, использующих сервисы Google для мобильных устройств. Она особенно важна, если устанавливаются приложения не из Google Play.

Описание уязвимостей (обновление системы безопасности 2019-05-01)

В этом разделе вы найдете подробную информацию обо всех уязвимостях, устраненных в обновлении системы безопасности 2019-05-01. Проблемы сгруппированы по компонентам, которые они затрагивают. Для каждого случая приведены описание и таблица, где указаны CVE, ссылки, тип уязвимости, уровень серьезности и, если применимо, версии AOSP. Где возможно, мы добавляем к идентификатору ошибки ссылку на опубликованное изменение (например, список AOSP). Если таких изменений несколько, дополнительные ссылки указываются в квадратных скобках.

Framework

Описанная ниже уязвимость позволяет локальному вредоносному ПО обойти требования к взаимодействию с пользователем, чтобы получить доступ к дополнительным разрешениям.

CVE Ссылки Тип Уровень серьезности Обновленные версии AOSP
CVE-2019-2043 A-120484087 ПП Средний 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9

Media Framework

Описанная ниже уязвимость позволяет злоумышленнику выполнять произвольный код в контексте привилегированного процесса с помощью специально созданного файла.

CVE Ссылки Тип Уровень серьезности Обновленные версии AOSP
CVE-2019-2044 A-123701862 УВК Критический 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9

Система

Самая серьезная уязвимость в этом разделе позволяет злоумышленнику выполнять произвольный код в контексте привилегированного процесса с помощью специально созданного PAC-файла.

CVE Ссылки Тип Уровень серьезности Обновленные версии AOSP
CVE-2019-2045 A-117554758 УВК Критический 7.0, 7.1.1, 7.1.2, 8.1, 9
CVE-2019-2046 A-117556220 УВК Критический 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9
CVE-2019-2047 A-117607414 УВК Критический 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9
CVE-2019-2049 A-120445479 ПП Высокий 9
CVE-2019-2050 A-121327323 ПП Высокий 8.0, 8.1, 9
CVE-2019-2051 A-117555811 РИ Высокий 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9
CVE-2019-2052 A-117556606 РИ Высокий 7.0, 7.1.1, 7.1.2, 8.1, 9
CVE-2019-2053 A-122074159 РИ Высокий 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9

Описание уязвимостей (обновление системы безопасности 2019-05-05)

В этом разделе вы найдете подробную информацию обо всех уязвимостях, устраненных в обновлении системы безопасности 2019-05-05. Проблемы сгруппированы по компонентам, которые они затрагивают. Для каждого случая приведена таблица, где указаны CVE, ссылки, тип уязвимости, уровень серьезности, а также, если применимо, компонент и версии AOSP. Где возможно, мы добавляем к идентификатору ошибки ссылку на опубликованное изменение (например, список AOSP). Когда несколько изменений относятся к одной ошибке, дополнительные ссылки перечислены в квадратных скобках.

Компоненты ядра

Описанная ниже уязвимость позволяет злоумышленнику, не обладающему дополнительными правами на выполнение кода, локально повышать привилегии в контексте привилегированного процесса.

CVE Ссылки Тип Уровень серьезности Компонент
CVE-2019-2054 A-119769499* ПП Средний seccomp

Компоненты NVIDIA

Описанная ниже уязвимость позволяет злоумышленнику, обладающему дополнительными правами на выполнение кода, локально повышать привилегии и выполнять произвольный код в контексте привилегированного процесса.

CVE Ссылки Тип Уровень серьезности Компонент
CVE-2018-6243 A-72315075* ПП Высокий Pixel C TrustZone

Компоненты Broadcom

Описанная ниже уязвимость позволяет злоумышленнику выполнять код в контексте привилегированного процесса с помощью специально созданной передачи.

CVE Ссылки Тип Уровень серьезности Компонент
CVE-2018-19860 A-122249979* УВК Высокий Встроенное ПО Bluetooth

Компоненты Qualcomm

Эти уязвимости затрагивают компоненты Qualcomm. Они описаны в бюллетенях по безопасности или оповещениях системы безопасности Qualcomm. Уровень серьезности этих проблем определяется непосредственно компанией Qualcomm.

CVE Ссылки Тип Уровень серьезности Компонент
CVE-2018-11955 A-78528839
QC-CR#2249768
Н/Д Высокий Драйвер WLAN
CVE-2018-13919 A-120486022
QC-CR#2289598
Н/Д Высокий Данные HLOS – LNX
CVE-2018-11819 A-112277301
QC-CR#2176354
Н/Д Средний Драйвер WLAN

Компоненты Qualcomm с закрытым исходным кодом

Эти уязвимости затрагивают компоненты Qualcomm с закрытым исходным кодом. Они описаны в бюллетенях по безопасности Qualcomm или в оповещениях системы безопасности. Уровень серьезности этих уязвимостей определяется непосредственно компанией Qualcomm.

CVE Ссылки Тип Уровень серьезности Компонент
CVE-2018-5912 A-114074547* Н/Д Критический Компонент с закрытым исходным кодом
CVE-2018-13898 A-119050181* Н/Д Критический Компонент с закрытым исходным кодом
CVE-2019-2255 A-122474428* Н/Д Критический Компонент с закрытым исходным кодом
CVE-2019-2256 A-114067283* Н/Д Критический Компонент с закрытым исходным кодом
CVE-2018-13901 A-119049466* Н/Д Высокий Компонент с закрытым исходным кодом
CVE-2018-13902 A-119050073* Н/Д Высокий Компонент с закрытым исходным кодом
CVE-2018-13906 A-119049388* Н/Д Высокий Компонент с закрытым исходным кодом
CVE-2018-13907 A-119050001* Н/Д Высокий Компонент с закрытым исходным кодом
CVE-2018-13908 A-119049623* Н/Д Высокий Компонент с закрытым исходным кодом
CVE-2018-13909 A-119051002* Н/Д Высокий Компонент с закрытым исходным кодом
CVE-2018-13910 A-119050182* Н/Д Высокий Компонент с закрытым исходным кодом
CVE-2018-13911 A-119052037* Н/Д Высокий Компонент с закрытым исходным кодом
CVE-2018-5913 A-122472140* Н/Д Высокий Компонент с закрытым исходным кодом
CVE-2019-2257 A-112303441* Н/Д Высокий Компонент с закрытым исходным кодом
CVE-2019-2259 A-123997497* Н/Д Высокий Компонент с закрытым исходным кодом

Часто задаваемые вопросы

В этом разделе мы отвечаем на вопросы, которые могут возникнуть после прочтения бюллетеня.

1. Как определить, установлено ли на устройство обновление, в котором устранены перечисленные проблемы?

Информацию о том, как проверить обновления системы безопасности, можно найти в Справочном центре.

  • В исправлении 2019-05-01 или более позднем устранены все проблемы, описанные в разделе "Обновление системы безопасности 2019-05-01".
  • В исправлении 2019-05-05 или более позднем устранены все проблемы, описанные в разделе "Обновление системы безопасности 2019-05-05" и предыдущих обновлениях системы безопасности.

Производители устройств, позволяющие установить эти обновления, должны присвоить им один из этих уровней:

  • [ro.build.version.security_patch]:[2019-05-01]
  • [ro.build.version.security_patch]:[2019-05-05]

2. Почему в этом бюллетене говорится о двух исправлениях системы безопасности?

Мы включили в этот бюллетень сведения о двух обновлениях, чтобы помочь нашим партнерам как можно скорее устранить уязвимости, затрагивающие все устройства Android. Рекомендуем партнерам Android исправить все вышеперечисленные проблемы и установить последнее обновление системы безопасности.

  • На устройствах с установленным обновлением 2019-05-01 должны быть исправлены все охваченные им проблемы, упомянутые в этом бюллетене и предыдущих выпусках.
  • На устройствах с установленным обновлением 2019-05-05 или более поздним должны быть исправлены все проблемы, упомянутые в этом бюллетене и предыдущих выпусках.

Рекомендуем партнерам собрать все исправления проблем в одно обновление.

3. Что означают сокращения в столбце Тип?

В этом столбце указан тип уязвимости по следующей классификации:

Сокращение Описание
RCE Удаленное выполнение кода (Remote code execution)
EoP Повышение привилегий (Elevation of privilege)
ID Раскрытие информации (Information disclosure)
DoS Отказ в обслуживании (Denial of service)
Н/Д Классификация недоступна

4. Что означает информация в столбце Ссылки?

В таблицах с описанием уязвимостей есть столбец Ссылки. Каждая запись в нем может содержать префикс, указывающий на источник ссылки, а именно:

Префикс Значение
A- Идентификатор ошибки Android
QC- Ссылочный номер Qualcomm
M- Ссылочный номер MediaTek
N- Ссылочный номер NVIDIA
B- Ссылочный номер Broadcom

5. Что означает символ * рядом с идентификатором ошибки Android в столбце Ссылки?

Символ * означает, что исправление для уязвимости не опубликовано. Необходимое обновление обычно содержится в последних исполняемых файлах драйверов для устройств Pixel, которые можно скачать с сайта Google Developers.

6. Почему теперь одни уязвимости описываются в этих бюллетенях, а другие – в бюллетенях по безопасности Pixel , а также в остальных бюллетенях партнеров?

В этом бюллетене описаны уязвимости, устранить которые необходимо для соответствия последнему уровню исправления Android. Решать дополнительные проблемы, перечисленные в бюллетенях по безопасности партнеров, для этого не потребовалось. Мы рекомендуем производителям чипсетов и устройств Android рассказывать об исправлениях для своих устройств в бюллетенях по безопасности на собственных сайтах. Примеры: бюллетени для Samsung, LG и Pixel.

Версии

Версия Дата Примечания
1.0 6 мая 2019 г. Бюллетень опубликован.
1.1 6 мая 2019 г. Добавлены ссылки на AOSP.