Android 10 安全性版本说明

发布时间:2019 年 8 月 20 日 | 更新时间:2019 年 11 月 21 日

本 Android 安全性版本说明详细介绍了会影响 Android 设备的安全漏洞,这些漏洞已在 Android 10 中得到解决。安全补丁程序级别为 2019-09-01 或更高版本的 Android 10 设备不会受到这些问题的影响(在 AOSP 上发布的 Android 10 的默认安全补丁程序级别为 2019-09-01)。要了解如何查看设备的安全补丁程序级别,请参阅如何查看并更新 Android 版本

Android 合作伙伴在本公告发布前就已收到关于所有问题的通知。我们会在 Android 10 版本中将针对这些问题的源代码补丁程序发布到 Android 开源项目 (AOSP) 代码库中。

这些版本说明中所述问题的严重程度评估的依据是漏洞被利用后可能会对受影响的设备造成的影响(假设相关平台和服务缓解措施被成功规避或出于开发目的而被停用)。

我们尚未收到用户因这些新报告的问题而遭到主动攻击或这些问题遭到滥用的报告。请参阅 Android 和 Google Play 保护机制提供的缓解措施部分,详细了解有助于提高 Android 平台安全性的 Android 安全平台防护功能和 Google Play 保护机制。

通告

  • 本文档中所述的问题已在 Android 10 中得到解决。这些信息仅供参考并向用户公开。
  • 我们衷心感谢安全研究社区对保护 Android 生态系统持续做出的贡献。

Android 和 Google 服务缓解措施

这一部分总结了 Android 安全平台和服务防护功能(如 Google Play 保护机制)提供的缓解措施。这些功能有助于降低 Android 上的安全漏洞被成功利用的可能性。

  • 较高版本的 Android 平台中提供的增强功能让攻击者更加难以利用 Android 上存在的许多问题。我们建议所有用户都尽可能更新到最新版 Android。
  • Android 安全团队会积极利用 Google Play 保护机制监控滥用行为,并会在发现潜在有害应用时向用户发出警告。在安装有 Google 移动服务的设备上,Google Play 保护机制会默认处于启用状态,对于从 Google Play 以外的来源安装应用的用户来说,该功能尤为重要。

Android 10 漏洞详情

以下部分提供了在 Android 10 中修复的安全漏洞的详细信息。漏洞列在所影响的组件下,内容包括 CVE、相关参考编号、漏洞类型严重程度

Android 运行时

CVE 参考编号 类型 严重程度
CVE-2019-9290 A-113039724 EoP
CVE-2019-9429 A-110035108 EoP

框架

CVE 参考编号 类型 严重程度
CVE-2019-9262 A-111792351 RCE
CVE-2019-9256 A-111921829 RCE
CVE-2019-9280 A-119322269 EoP
CVE-2019-9288 A-111363077 EoP
CVE-2019-9384 A-120568007 EoP
CVE-2019-9269 A-36899497 EoP
CVE-2019-9374 A-129476618 EoP
CVE-2019-9378 A-124539196 EoP
CVE-2019-9380 A-123700098 EoP
CVE-2019-9407 A-112434609 EoP
CVE-2019-9351 A-128599864 ID
CVE-2019-9281 A-32748076 ID
CVE-2019-9377 A-128599663 ID
CVE-2019-9292 A-115384617 ID
CVE-2019-9424 A-110941092 ID
CVE-2019-9399 A-115635664 ID
CVE-2019-9421 A-111215250 ID
CVE-2019-9428 A-110150807 ID
CVE-2019-9323 A-30770233 ID
CVE-2019-9438 A-77821568 ID
CVE-2019-9373 A-130173029 DoS
CVE-2019-9376 A-129287265 DoS
CVE-2019-9372 A-132782448 DoS

CVE 参考编号 类型 严重程度
CVE-2019-9423 A-110986616 EoP
CVE-2019-9459 A-79593569 EoP

媒体框架

CVE 参考编号 类型 严重程度
CVE-2019-9297 A-112890242 RCE
CVE-2019-9298 A-112892194 RCE
CVE-2019-9299 A-112663886 RCE
CVE-2019-9300 A-112661610 RCE
CVE-2019-9301 A-112663384 RCE
CVE-2019-9302 A-112661356 RCE
CVE-2019-9303 A-112661057 RCE
CVE-2019-9304 A-112662270 RCE
CVE-2019-9305 A-112661835 RCE
CVE-2019-9306 A-112661348 RCE
CVE-2019-9307 A-112661893 RCE
CVE-2019-9308 A-112661742 RCE
CVE-2019-9346 A-128433933 RCE
CVE-2019-9357 A-112662995 RCE
CVE-2019-9382 A-120874654 RCE
CVE-2019-9405 A-112890225 RCE
CVE-2019-9278 A-112537774 RCE
CVE-2019-9310 A-112891546 EoP
CVE-2019-9232 A-122675483 ID
CVE-2019-9247 A-120426166 ID
CVE-2019-9282 A-113211371 ID
CVE-2019-9293 A-117661116 ID
CVE-2019-9294 A-111764444 ID
CVE-2019-9313 A-112005441 ID
CVE-2019-9314 A-112329563 ID
CVE-2019-9315 A-112326216 ID
CVE-2019-9316 A-112052432 ID
CVE-2019-9317 A-112052258 ID
CVE-2019-9318 A-111764725 ID
CVE-2019-9319 A-111762100 ID
CVE-2019-9320 A-111761624 ID
CVE-2019-9321 A-111208713 ID
CVE-2019-9322 A-111128067 ID
CVE-2019-9325 A-112001302 ID
CVE-2019-9334 A-112859934 ID
CVE-2019-9335 A-112328051 ID
CVE-2019-9336 A-112326322 ID
CVE-2019-9337 A-112204376 ID
CVE-2019-9338 A-111762686 ID
CVE-2019-9347 A-109891727 ID
CVE-2019-9359 A-111407302 ID
CVE-2019-9361 A-111762807 ID
CVE-2019-9362 A-120426980 ID
CVE-2019-9364 A-73364631 ID
CVE-2019-9366 A-112052062 ID
CVE-2019-9370 A-133880046 ID
CVE-2019-9406 A-112552517 ID
CVE-2019-9408 A-112380157 ID
CVE-2019-9409 A-112272091 ID
CVE-2019-9410 A-112204443 ID
CVE-2019-9411 A-112204845 ID
CVE-2019-9412 A-112006096 ID
CVE-2019-9415 A-111805098 ID
CVE-2019-9416 A-111804142 ID
CVE-2019-9433 A-80479354 ID
CVE-2019-9252 A-73339042 ID
CVE-2019-9268 A-77474014 DoS
CVE-2019-9283 A-112663564 DoS
CVE-2019-9348 A-128431761 DoS
CVE-2019-9349 A-124330204 DoS
CVE-2019-9352 A-124253062 DoS
CVE-2019-9371 A-132783254 DoS
CVE-2019-9379 A-124329638 DoS
CVE-2019-9418 A-111450210 DoS
CVE-2019-9420 A-111272481 DoS

系统

CVE 参考编号 类型 严重程度
CVE-2019-9363 A-123584306 RCE
CVE-2019-9365 A-109838537 RCE
CVE-2018-9425 A-73884967 EoP
CVE-2019-9463 A-113584607 EoP
CVE-2019-9291 A-112159179 EoP
CVE-2019-9386 A-122361874 EoP
CVE-2019-9375 A-129344244 EoP
CVE-2019-9238 A-121267042 EoP
CVE-2019-9257 A-113572342 EoP
CVE-2019-9258 A-113655028 EoP
CVE-2019-9259 A-113575306 EoP
CVE-2019-9263 A-73136824 EoP
CVE-2019-9266 A-119501435 EoP
CVE-2019-9295 A-36885811 EoP
CVE-2019-9309 A-117985575 EoP
CVE-2019-9350 A-129562815 EoP
CVE-2019-9358 A-120156401 EoP
CVE-2018-9489 A-77286245 ID
CVE-2019-9440 A-37637796 ID
CVE-2019-9277 A-68016944 ID
CVE-2019-9233 A-122529021 ID
CVE-2019-9234 A-122465453 ID
CVE-2019-9235 A-122323053 ID
CVE-2019-9236 A-122322613 ID
CVE-2019-9237 A-121325979 ID
CVE-2019-9239 A-121263487 ID
CVE-2019-9240 A-121150966 ID
CVE-2019-9241 A-121036603 ID
CVE-2019-9242 A-121035878 ID
CVE-2019-9243 A-120905706 ID
CVE-2019-9244 A-120865977 ID
CVE-2019-9246 A-120428637 ID
CVE-2019-9249 A-120255805 ID
CVE-2019-9250 A-120276962 ID
CVE-2019-9251 A-120274615 ID
CVE-2019-9253 A-109769728 ID
CVE-2019-9260 A-113495295 ID
CVE-2019-9265 A-37994606 ID
CVE-2019-9272 A-11596047 ID
CVE-2019-9284 A-111850706 ID
CVE-2019-9287 A-78287084 ID
CVE-2019-9289 A-79883824 ID
CVE-2018-9581 A-111698366 ID
CVE-2019-9296 A-112162089 ID
CVE-2019-9312 A-78288018 ID
CVE-2019-9326 A-111215173 ID
CVE-2019-9328 A-111895000 ID
CVE-2019-9329 A-112917952 ID
CVE-2019-9332 A-78286500 ID
CVE-2019-9333 A-109753657 ID
CVE-2019-9344 A-120845341 ID
CVE-2019-9353 A-123024201 ID
CVE-2019-9354 A-118148142 ID
CVE-2019-9355 A-115903122 ID
CVE-2019-9356 A-111699773 ID
CVE-2019-9360 A-120610663 ID
CVE-2019-9368 A-79883568 ID
CVE-2019-9369 A-79995407 ID
CVE-2019-9381 A-122677612 ID
CVE-2019-9383 A-120843827 ID
CVE-2019-9387 A-117569833 ID
CVE-2019-9388 A-117567437 ID
CVE-2019-9403 A-113512324 ID
CVE-2019-9414 A-111893041 ID
CVE-2019-9427 A-110166350 ID
CVE-2019-9431 A-109755179 ID
CVE-2019-9432 A-80546108 ID
CVE-2019-9434 A-80432895 ID
CVE-2019-9435 A-80146682 ID
CVE-2019-9330 A-111214739 ID
CVE-2019-9331 A-112272279 ID
CVE-2019-9341 A-111214770 ID
CVE-2019-9342 A-111214470 ID
CVE-2019-9343 A-112050983 ID
CVE-2019-9367 A-112106425 ID
CVE-2019-9413 A-111935831 ID
CVE-2019-9417 A-111450079 ID
CVE-2019-9419 A-111407544 ID
CVE-2019-9422 A-111214766 ID
CVE-2019-9279 A-110476382 DoS
CVE-2019-9285 A-111215315 DoS
CVE-2019-9286 A-111213909 DoS
CVE-2019-9311 A-79431031 DoS
CVE-2019-9327 A-112050583 DoS
CVE-2019-9462 A-91544774 DoS
CVE-2019-9389 A-117567058 DoS
CVE-2019-9390 A-117551475 DoS
CVE-2019-9393 A-116357965 DoS
CVE-2019-9394 A-116351796 DoS
CVE-2019-9395 A-116267405 DoS
CVE-2019-9396 A-115747155 DoS
CVE-2019-9397 A-115747410 DoS
CVE-2019-9398 A-115745406 DoS
CVE-2019-9400 A-115509589 DoS
CVE-2019-9401 A-115375248 DoS
CVE-2019-9402 A-115372550 DoS
CVE-2019-9404 A-112923309 DoS
CVE-2019-9425 A-110846194 DoS
CVE-2019-9430 A-109838296 DoS

Libxaac

Android 9 libxaac 库已被标记为实验性功能,并已从 Android 正式版中移除(相关通告请见 2018 年 11 月 Android 安全公告)。我们衷心感谢研究人员的发现结果。

已发现的问题包括以下 CVE ID:CVE-2019-2055、CVE-2019-2059、CVE-2019-2060、CVE-2019-2061、CVE-2019-2062、CVE-2019-2063、CVE-2019-2064、CVE-2019-2065、CVE-2019-2066、CVE-2019-2067、CVE-2019-2068、CVE-2019-2069、CVE-2019-2070、CVE-2019-2071、CVE-2019-2072、CVE-2019-2073、CVE-2019-2074、CVE-2019-2075、CVE-2019-2076、CVE-2019-2077、CVE-2019-2078、CVE-2019-2079、CVE-2019-2080、CVE-2019-2081、CVE-2019-2082、CVE-2019-2083、CVE-2019-2084、CVE-2019-2085、CVE-2019-2086、CVE-2019-2087、CVE-2019-2138、CVE-2019-2139、CVE-2019-2140、CVE-2019-2141、CVE-2019-2142、CVE-2019-2143、CVE-2019-2144、CVE-2019-2145、CVE-2019-2146、CVE-2019-2147、CVE-2019-2148、CVE-2019-2149、CVE-2019-2150、CVE-2019-2151、CVE-2019-2152、CVE-2019-2153、CVE-2019-2154、CVE-2019-2155、CVE-2019-2156、CVE-2019-2157、CVE-2019-2158、CVE-2019-2159、CVE-2019-2160、CVE-2019-2161、CVE-2019-2162、CVE-2019-2163、CVE-2019-2164、CVE-2019-2165、CVE-2019-2166、CVE-2019-2167、CVE-2019-2168、CVE-2019-2169、CVE-2019-2170、CVE-2019-2171、CVE-2019-2172、CVE-2019-9261、CVE-2019-9264、CVE-2019-9385 和 CVE-2019-9391。

常见问题和解答

这一部分解答了用户在阅读本公告后可能会提出的常见问题。

1. 如何确定我的设备是否已更新到解决了这些问题的版本?

要了解如何查看设备的安全补丁程序级别,请参阅查看并更新 Android 版本

在 AOSP 上发布的 Android 10 的默认安全补丁程序级别为 2019-09-01。如果搭载 Android 10 的 Android 设备的安全补丁程序级别是 2019-09-01 或更新,则意味着已解决这些安全性版本说明中包含的所有问题。

2. “类型”列中的条目表示什么意思?
在漏洞详情表内,“类型”列中的条目是安全漏洞的分类。

缩写词 定义
RCE 远程代码执行
EoP 提权
ID 信息披露
DoS 拒绝服务
N/A 没有分类

3.“参考编号”列中的条目表示什么意思?

在漏洞详情表内,“参考编号”列中的条目可能包含用于标识参考编号值所属组织的前缀。

前缀 参考编号
A- Android Bug ID

版本

版本 日期 备注
1.0 2019 年 8 月 20 日 发布了安全性版本说明。
1.1 2019 年 8 月 21 日 细微调整了各漏洞表。
1.2 2019 年 9 月 17 日 更新了确认和问题列表
1.3 2019 年 11 月 21 日 更新了问题列表。