Android 10 보안 출시 노트

2019년 8월 20일에 게시됨 | 2019년 11월 21일에 업데이트됨

이 Android 보안 출시 노트에는 Android 10에서 해결된 Android 기기 보안 취약성에 관한 자세한 내용이 포함되어 있습니다. 2019-09-01 이후의 보안 패치 수준을 사용하는 Android 10 기기는 이러한 문제로부터 보호됩니다(AOSP로 출시된 Android 10에는 2019-09-01 보안 패치 수준이 기본적으로 설치되어 있습니다). 기기의 보안 패치 수준을 확인하는 방법은 Android 버전 확인 및 업데이트 방법을 참조하세요.

Android 파트너에게는 게시 전에 모든 문제 관련 알림이 전달되었습니다. 이러한 문제의 해결을 위한 소스 코드 패치는 향후 48시간 이내에 Android 10 출시의 일부로 Android 오픈소스 프로젝트(AOSP) 저장소에 배포됩니다.

이번 출시 노트에 포함된 문제 심각도 평가는 개발 목적으로 플랫폼 및 서비스의 취약성 완화 기능을 사용할 수 없거나 우회에 성공한 경우 취약성 악용으로 인해 대상 기기가 받는 영향을 기준으로 합니다.

실제 고객이 새로 보고된 이러한 문제로 인해 악용당했다는 신고는 접수되지 않았습니다. Android 플랫폼의 보안을 개선하는 Android 보안 플랫폼 보호 및 Google Play 프로텍트에 관해 자세히 알아보려면 Android 및 Google Play 프로텍트 완화 섹션을 참조하세요.

공지사항

  • 이 문서에 설명된 문제는 Android 10에서 해결되었습니다. 다음 정보는 참조 및 투명한 정보 공개를 위해 제공되었습니다.
  • Android 생태계를 안전하게 보호하기 위한 노력을 멈추지 않고 있는 보안 연구 커뮤니티의 노고에 진심으로 감사드립니다.

Android 및 Google 서비스 완화

다음은 Google Play 프로텍트와 같은 Android 보안 플랫폼 및 서비스 보호 기능에서 제공하는 완화에 관한 요약입니다. 이러한 기능을 통해 Android에서 보안 취약성이 악용될 가능성을 줄입니다.

  • Android 플랫폼 최신 버전의 향상된 기능으로 Android의 여러 문제를 악용하기 더욱 어려워졌습니다. 가능하다면 모든 사용자는 최신 버전의 Android로 업데이트하는 것이 좋습니다.
  • Android 보안팀에서는 Google Play 프로텍트를 통해 악용사례를 적극적으로 모니터링하고 잠재적으로 위험한 애플리케이션에 관해 사용자에게 경고를 보냅니다. Google Play 프로텍트는 Google 모바일 서비스가 적용된 기기에 기본적으로 사용 설정되어 있으며 Google Play 외부에서 가져온 앱을 설치하는 사용자에게 특히 중요합니다.

Android 10—취약성 세부정보

아래 섹션에서는 Android 10에서 해결된 보안 취약성에 관한 세부정보를 제공합니다. 취약성은 영향을 받는 구성요소 아래에 그룹화되어 있으며 CVE, 관련 참조, 취약성 유형, 심각도와 같은 세부정보가 포함되어 있습니다.

Android 런타임

CVE 참조 유형 심각도
CVE-2019-9290 A-113039724 EoP 보통
CVE-2019-9429 A-110035108 EoP 보통

프레임워크

CVE 참조 유형 심각도
CVE-2019-9262 A-111792351 RCE 보통
CVE-2019-9256 A-111921829 RCE 보통
CVE-2019-9280 A-119322269 EoP 보통
CVE-2019-9288 A-111363077 EoP 보통
CVE-2019-9384 A-120568007 EoP 보통
CVE-2019-9269 A-36899497 EoP 보통
CVE-2019-9374 A-129476618 EoP 보통
CVE-2019-9378 A-124539196 EoP 보통
CVE-2019-9380 A-123700098 EoP 보통
CVE-2019-9407 A-112434609 EoP 보통
CVE-2019-9351 A-128599864 ID 보통
CVE-2019-9281 A-32748076 ID 보통
CVE-2019-9377 A-128599663 ID 보통
CVE-2019-9292 A-115384617 ID 보통
CVE-2019-9424 A-110941092 ID 보통
CVE-2019-9399 A-115635664 ID 보통
CVE-2019-9421 A-111215250 ID 보통
CVE-2019-9428 A-110150807 ID 보통
CVE-2019-9323 A-30770233 ID 보통
CVE-2019-9438 A-77821568 ID 보통
CVE-2019-9373 A-130173029 DoS 보통
CVE-2019-9376 A-129287265 DoS 보통
CVE-2019-9372 A-132782448 DoS 보통

라이브러리

CVE 참조 유형 심각도
CVE-2019-9423 A-110986616 EoP 보통
CVE-2019-9459 A-79593569 EoP 보통

미디어 프레임워크

CVE 참조 유형 심각도
CVE-2019-9297 A-112890242 RCE 보통
CVE-2019-9298 A-112892194 RCE 보통
CVE-2019-9299 A-112663886 RCE 보통
CVE-2019-9300 A-112661610 RCE 보통
CVE-2019-9301 A-112663384 RCE 보통
CVE-2019-9302 A-112661356 RCE 보통
CVE-2019-9303 A-112661057 RCE 보통
CVE-2019-9304 A-112662270 RCE 보통
CVE-2019-9305 A-112661835 RCE 보통
CVE-2019-9306 A-112661348 RCE 보통
CVE-2019-9307 A-112661893 RCE 보통
CVE-2019-9308 A-112661742 RCE 보통
CVE-2019-9346 A-128433933 RCE 보통
CVE-2019-9357 A-112662995 RCE 보통
CVE-2019-9382 A-120874654 RCE 보통
CVE-2019-9405 A-112890225 RCE 보통
CVE-2019-9278 A-112537774 RCE 보통
CVE-2019-9310 A-112891546 EoP 보통
CVE-2019-9232 A-122675483 ID 보통
CVE-2019-9247 A-120426166 ID 보통
CVE-2019-9282 A-113211371 ID 보통
CVE-2019-9293 A-117661116 ID 보통
CVE-2019-9294 A-111764444 ID 보통
CVE-2019-9313 A-112005441 ID 보통
CVE-2019-9314 A-112329563 ID 보통
CVE-2019-9315 A-112326216 ID 보통
CVE-2019-9316 A-112052432 ID 보통
CVE-2019-9317 A-112052258 ID 보통
CVE-2019-9318 A-111764725 ID 보통
CVE-2019-9319 A-111762100 ID 보통
CVE-2019-9320 A-111761624 ID 보통
CVE-2019-9321 A-111208713 ID 보통
CVE-2019-9322 A-111128067 ID 보통
CVE-2019-9325 A-112001302 ID 보통
CVE-2019-9334 A-112859934 ID 보통
CVE-2019-9335 A-112328051 ID 보통
CVE-2019-9336 A-112326322 ID 보통
CVE-2019-9337 A-112204376 ID 보통
CVE-2019-9338 A-111762686 ID 보통
CVE-2019-9347 A-109891727 ID 보통
CVE-2019-9359 A-111407302 ID 보통
CVE-2019-9361 A-111762807 ID 보통
CVE-2019-9362 A-120426980 ID 보통
CVE-2019-9364 A-73364631 ID 보통
CVE-2019-9366 A-112052062 ID 보통
CVE-2019-9370 A-133880046 ID 보통
CVE-2019-9406 A-112552517 ID 보통
CVE-2019-9408 A-112380157 ID 보통
CVE-2019-9409 A-112272091 ID 보통
CVE-2019-9410 A-112204443 ID 보통
CVE-2019-9411 A-112204845 ID 보통
CVE-2019-9412 A-112006096 ID 보통
CVE-2019-9415 A-111805098 ID 보통
CVE-2019-9416 A-111804142 ID 보통
CVE-2019-9433 A-80479354 ID 보통
CVE-2019-9252 A-73339042 ID 보통
CVE-2019-9268 A-77474014 DoS 보통
CVE-2019-9283 A-112663564 DoS 보통
CVE-2019-9348 A-128431761 DoS 보통
CVE-2019-9349 A-124330204 DoS 보통
CVE-2019-9352 A-124253062 DoS 보통
CVE-2019-9371 A-132783254 DoS 보통
CVE-2019-9379 A-124329638 DoS 보통
CVE-2019-9418 A-111450210 DoS 보통
CVE-2019-9420 A-111272481 DoS 보통

시스템

CVE 참조 유형 심각도
CVE-2019-9363 A-123584306 RCE 보통
CVE-2019-9365 A-109838537 RCE 보통
CVE-2018-9425 A-73884967 EoP 보통
CVE-2019-9463 A-113584607 EoP 보통
CVE-2019-9291 A-112159179 EoP 보통
CVE-2019-9386 A-122361874 EoP 보통
CVE-2019-9375 A-129344244 EoP 보통
CVE-2019-9238 A-121267042 EoP 보통
CVE-2019-9257 A-113572342 EoP 보통
CVE-2019-9258 A-113655028 EoP 보통
CVE-2019-9259 A-113575306 EoP 보통
CVE-2019-9263 A-73136824 EoP 보통
CVE-2019-9266 A-119501435 EoP 보통
CVE-2019-9295 A-36885811 EoP 보통
CVE-2019-9309 A-117985575 EoP 보통
CVE-2019-9350 A-129562815 EoP 보통
CVE-2019-9358 A-120156401 EoP 보통
CVE-2018-9489 A-77286245 ID 보통
CVE-2019-9440 A-37637796 ID 보통
CVE-2019-9277 A-68016944 ID 보통
CVE-2019-9233 A-122529021 ID 보통
CVE-2019-9234 A-122465453 ID 보통
CVE-2019-9235 A-122323053 ID 보통
CVE-2019-9236 A-122322613 ID 보통
CVE-2019-9237 A-121325979 ID 보통
CVE-2019-9239 A-121263487 ID 보통
CVE-2019-9240 A-121150966 ID 보통
CVE-2019-9241 A-121036603 ID 보통
CVE-2019-9242 A-121035878 ID 보통
CVE-2019-9243 A-120905706 ID 보통
CVE-2019-9244 A-120865977 ID 보통
CVE-2019-9246 A-120428637 ID 보통
CVE-2019-9249 A-120255805 ID 보통
CVE-2019-9250 A-120276962 ID 보통
CVE-2019-9251 A-120274615 ID 보통
CVE-2019-9253 A-109769728 ID 보통
CVE-2019-9260 A-113495295 ID 보통
CVE-2019-9265 A-37994606 ID 보통
CVE-2019-9272 A-11596047 ID 보통
CVE-2019-9284 A-111850706 ID 보통
CVE-2019-9287 A-78287084 ID 보통
CVE-2019-9289 A-79883824 ID 보통
CVE-2018-9581 A-111698366 ID 보통
CVE-2019-9296 A-112162089 ID 보통
CVE-2019-9312 A-78288018 ID 보통
CVE-2019-9326 A-111215173 ID 보통
CVE-2019-9328 A-111895000 ID 보통
CVE-2019-9329 A-112917952 ID 보통
CVE-2019-9332 A-78286500 ID 보통
CVE-2019-9333 A-109753657 ID 보통
CVE-2019-9344 A-120845341 ID 보통
CVE-2019-9353 A-123024201 ID 보통
CVE-2019-9354 A-118148142 ID 보통
CVE-2019-9355 A-115903122 ID 보통
CVE-2019-9356 A-111699773 ID 보통
CVE-2019-9360 A-120610663 ID 보통
CVE-2019-9368 A-79883568 ID 보통
CVE-2019-9369 A-79995407 ID 보통
CVE-2019-9381 A-122677612 ID 보통
CVE-2019-9383 A-120843827 ID 보통
CVE-2019-9387 A-117569833 ID 보통
CVE-2019-9388 A-117567437 ID 보통
CVE-2019-9403 A-113512324 ID 보통
CVE-2019-9414 A-111893041 ID 보통
CVE-2019-9427 A-110166350 ID 보통
CVE-2019-9431 A-109755179 ID 보통
CVE-2019-9432 A-80546108 ID 보통
CVE-2019-9434 A-80432895 ID 보통
CVE-2019-9435 A-80146682 ID 보통
CVE-2019-9330 A-111214739 ID 보통
CVE-2019-9331 A-112272279 ID 보통
CVE-2019-9341 A-111214770 ID 보통
CVE-2019-9342 A-111214470 ID 보통
CVE-2019-9343 A-112050983 ID 보통
CVE-2019-9367 A-112106425 ID 보통
CVE-2019-9413 A-111935831 ID 보통
CVE-2019-9417 A-111450079 ID 보통
CVE-2019-9419 A-111407544 ID 보통
CVE-2019-9422 A-111214766 ID 보통
CVE-2019-9279 A-110476382 DoS 보통
CVE-2019-9285 A-111215315 DoS 보통
CVE-2019-9286 A-111213909 DoS 보통
CVE-2019-9311 A-79431031 DoS 보통
CVE-2019-9327 A-112050583 DoS 보통
CVE-2019-9462 A-91544774 DoS 보통
CVE-2019-9389 A-117567058 DoS 보통
CVE-2019-9390 A-117551475 DoS 보통
CVE-2019-9393 A-116357965 DoS 보통
CVE-2019-9394 A-116351796 DoS 보통
CVE-2019-9395 A-116267405 DoS 보통
CVE-2019-9396 A-115747155 DoS 보통
CVE-2019-9397 A-115747410 DoS 보통
CVE-2019-9398 A-115745406 DoS 보통
CVE-2019-9400 A-115509589 DoS 보통
CVE-2019-9401 A-115375248 DoS 보통
CVE-2019-9402 A-115372550 DoS 보통
CVE-2019-9404 A-112923309 DoS 보통
CVE-2019-9425 A-110846194 DoS 보통
CVE-2019-9430 A-109838296 DoS 보통

Libxaac

Android 9 libxaac 라이브러리는 실험용으로 표시되었으며 2018년 11월 Android 보안 게시판의 일부로 프로덕션 Android 빌드에서 삭제되었습니다. 문제를 연구해 주신 연구원에게 감사드립니다.

이 문제가 파악된 CVE ID는 다음과 같습니다. CVE-2019-2055, CVE-2019-2059, CVE-2019-2060, CVE-2019-2061, CVE-2019-2062, CVE-2019-2063, CVE-2019-2064, CVE-2019-2065, CVE-2019-2066, CVE-2019-2067, CVE-2019-2068, CVE-2019-2069, CVE-2019-2070, CVE-2019-2071, CVE-2019-2072, CVE-2019-2073, CVE-2019-2074, CVE-2019-2075, CVE-2019-2076, CVE-2019-2077, CVE-2019-2078, CVE-2019-2079, CVE-2019-2080, CVE-2019-2081, CVE-2019-2082, CVE-2019-2083, CVE-2019-2084, CVE-2019-2085, CVE-2019-2086, CVE-2019-2087, CVE-2019-2138, CVE-2019-2139, CVE-2019-2140, CVE-2019-2141, CVE-2019-2142, CVE-2019-2143, CVE-2019-2144, CVE-2019-2145, CVE-2019-2146, CVE-2019-2147, CVE-2019-2148, CVE-2019-2149, CVE-2019-2150, CVE-2019-2151, CVE-2019-2152, CVE-2019-2153, CVE-2019-2154, CVE-2019-2155, CVE-2019-2156, CVE-2019-2157, CVE-2019-2158, CVE-2019-2159, CVE-2019-2160, CVE-2019-2161, CVE-2019-2162, CVE-2019-2163, CVE-2019-2164, CVE-2019-2165, CVE-2019-2166, CVE-2019-2167, CVE-2019-2168, CVE-2019-2169, CVE-2019-2170, CVE-2019-2171, CVE-2019-2172, CVE-2019-9261, CVE-2019-9264, CVE-2019-9385, CVE-2019-9391.

일반적인 질문 및 답변

이 섹션에서는 게시판 내용에 관한 일반적인 질문의 답변을 제시합니다.

1. 내 기기가 업데이트되어 이 문제가 해결되었는지 어떻게 알 수 있나요?

기기의 보안 패치 수준을 확인하는 방법은 Android 버전 확인 및 업데이트를 참조하세요.

AOSP에 게시된 Android 10의 기본 보안 패치 수준은 2019-09-01입니다. Android 10를 실행하며 보안 패치 수준이 2019-09-01 이상인 Android 기기의 경우 이 보안 출시 노트에 포함된 모든 문제가 해결됩니다.

2. 유형 열의 항목은 무엇을 의미하나요?
취약성 세부정보 표의 유형 열에 있는 항목은 보안 취약성 분류를 뜻합니다.

약어 정의
RCE 원격 코드 실행
EoP 권한 승격
ID 정보 공개
DoS 서비스 거부
N/A 분류 없음

3. 참조 열의 항목은 무엇을 의미하나요?

취약성 세부정보 표의 참조 열에 있는 항목은 참조 값이 속한 조직을 나타내는 프리픽스를 포함할 수 있습니다.

접두어 참조
A- Android 버그 ID

버전

버전 날짜 참고
1.0 2019년 8월 20일 보안 출시 노트가 게시됨
1.1 2019년 8월 21일 취약성 테이블에 대한 약간의 조정
1.2 2019년 9월 17일 감사의 말씀 및 문제 목록 업데이트됨
1.3 2019년 11월 21일 문제 목록 업데이트됨