Опубликован 6 января 2020 г.
В этом бюллетене содержится информация об уязвимостях в защите и об улучшениях функциональных возможностей поддерживаемых устройств Pixel (устройств Google). Для устройств Google исправления системы безопасности 2020-01-01 и более поздние устраняют как минимум все проблемы, указанные в этом бюллетене и все проблемы, соответствующие исправлению системы безопасности 2020-01-01 в бюллетене по безопасности Android за январь 2020 г. О том, как проверить уровень исправления системы безопасности на устройстве, рассказывается в статье об обновлении версии Android.
Исправление системы безопасности 2020-01-01 получат все поддерживаемые устройства Google. Мы рекомендуем всем клиентам одобрить установку перечисленных в бюллетене обновлений.
Объявления
- Помимо уязвимостей, устраненных в исправлении 2020-01-01 и описанных в бюллетене по безопасности Android за январь 2020 года, обновления для устройств Google также содержат исправления проблем, перечисленных ниже. Партнеры были уведомлены об этих проблемах не менее месяца назад и могут включить их исправления в обновления для своих устройств.
Исправления для системы безопасности
Уязвимости сгруппированы по компонентам, которые они затрагивают. Для каждого случая приведены описание и таблица, где указаны CVE, ссылки, тип уязвимости, уровень серьезности и, если применимо, версии AOSP. Где возможно, мы добавляем к идентификатору ошибки ссылку на опубликованное изменение (например, список AOSP). Если таких изменений несколько, дополнительные ссылки указываются в квадратных скобках.
Компоненты ядра
Самая серьезная уязвимость позволяет находящемуся поблизости злоумышленнику выполнять произвольный код в контексте привилегированного процесса с помощью специально созданной передачи.
| CVE | Ссылки | Тип | Уровень серьезности | Компонент |
|---|---|---|---|---|
| CVE-2019-17666 | A-142967706 Upstream kernel |
RCE | Критический | Драйвер Realtek rtlwifi |
| CVE-2018-20856 | A-138921316 Upstream kernel |
EoP | Высокий | Ядро |
| CVE-2019-15214 | A-140920734 Upstream kernel |
EoP | Высокий | Звуковая подсистема |
| CVE-2020-0009 | A-142938932* | EoP | Высокий | ashmem |
Компоненты Qualcomm
Указанные ниже уязвимости затрагивают компоненты Qualcomm и подробно описаны в бюллетенях по безопасности или оповещениях системы безопасности Qualcomm. Уровень серьезности определяется непосредственно компанией Qualcomm.
| CVE | Ссылки | Тип | Уровень серьезности | Компонент |
|---|---|---|---|---|
| CVE-2018-11843 | A-111126051 QC-CR#2216751 |
Н/Д | Высокий | Хост WLAN |
| CVE-2019-10558 | A-142268223 QC-CR#2355428 |
Н/Д | Высокий | Ядро |
| CVE-2019-10581 | A-142267478 QC-CR#2451619 |
Н/Д | Высокий | Аудио |
| CVE-2019-10585 | A-142267685 QC-CR#2457975 |
Н/Д | Высокий | Ядро |
| CVE-2019-10602 | A-142270161 QC-CR#2165926 [2] |
Н/Д | Высокий | Экран |
| CVE-2019-10606 | A-142269492 QC-CR#2192810 [2] |
Н/Д | Высокий | Ядро |
| CVE-2019-14010 | A-142269847 QC-CR#2465851 [2] |
Н/Д | Высокий | Аудио |
| CVE-2019-14023 | A-142270139 QC-CR#2493328 |
Н/Д | Высокий | Ядро |
| CVE-2019-14024 | A-142269993 QC-CR#2494103 |
Н/Д | Высокий | Модуль NFC |
| CVE-2019-14034 | A-142270258 QC-CR#2491649 [2] [3] |
Н/Д | Высокий | Камера |
| CVE-2019-14036 | A-142269832 QC-CR#2200862 |
Н/Д | Высокий | Хост WLAN |
| CVE-2019-2293 | A-129852075 QC-CR#2245982 |
Н/Д | Средний | Камера |
| CVE-2019-10486 | A-136500978 QC-CR#2362627 [2] |
Н/Д | Средний | Камера |
| CVE-2019-10503 | A-136501052 QC-CR#2379514 [2] |
Н/Д | Средний | Камера |
| CVE-2019-10494 | A-120975505 QC-CR#2376566 |
Н/Д | Средний | Камера |
Компоненты Qualcomm с закрытым исходным кодом
Указанные ниже уязвимости затрагивают компоненты Qualcomm с закрытым исходным кодом и подробно описаны в бюллетенях по безопасности или в оповещениях системы безопасности Qualcomm. Уровень серьезности этих уязвимостей определяется непосредственно компанией Qualcomm.
| CVE | Ссылки | Тип | Уровень серьезности | Компонент |
|---|---|---|---|---|
| CVE-2019-2267 | A-132108182* | Н/Д | Высокий | Компонент с закрытым исходным кодом |
| CVE-2019-10548 | A-137030896* | Н/Д | Высокий | Компонент с закрытым исходным кодом |
| CVE-2019-10532 | A-142271634* | Н/Д | Высокий | Компонент с закрытым исходным кодом |
| CVE-2019-10578 | A-142268949* | Н/Д | Высокий | Компонент с закрытым исходным кодом |
| CVE-2019-10579 | A-142271692* | Н/Д | Высокий | Компонент с закрытым исходным кодом |
| CVE-2019-10582 | A-130574302* | Н/Д | Высокий | Компонент с закрытым исходным кодом |
| CVE-2019-10583 | A-131180394* | Н/Д | Высокий | Компонент с закрытым исходным кодом |
| CVE-2019-10611 | A-142271615* | Н/Д | Высокий | Компонент с закрытым исходным кодом |
| CVE-2019-14002 | A-142271274* | Н/Д | Высокий | Компонент с закрытым исходным кодом |
| CVE-2019-14003 | A-142271498* | Н/Д | Высокий | Компонент с закрытым исходным кодом |
| CVE-2019-14004 | A-142271848* | Н/Д | Высокий | Компонент с закрытым исходным кодом |
| CVE-2019-14005 | A-142271965* | Н/Д | Высокий | Компонент с закрытым исходным кодом |
| CVE-2019-14006 | A-142271827* | Н/Д | Высокий | Компонент с закрытым исходным кодом |
| CVE-2019-14008 | A-142271609* | Н/Д | Высокий | Компонент с закрытым исходным кодом |
| CVE-2019-14013 | A-142271944* | Н/Д | Высокий | Компонент с закрытым исходным кодом |
| CVE-2019-14014 | A-142270349* | Н/Д | Высокий | Компонент с закрытым исходным кодом |
| CVE-2019-14016 | A-142270646* | Н/Д | Высокий | Компонент с закрытым исходным кодом |
| CVE-2019-14017 | A-142271515* | Н/Д | Высокий | Компонент с закрытым исходным кодом |
Улучшения функциональных возможностей
Подробную информацию об исправлениях ошибок и улучшениях функциональных возможностей, включенных в этот выпуск, можно найти на справочном форуме Pixel.
Часто задаваемые вопросы
В этом разделе мы отвечаем на вопросы, которые могут возникнуть после прочтения бюллетеня.
1. Как определить, установлено ли на устройство обновление, в котором устранены перечисленные проблемы?
В исправлении 2020-01-01 и более новых устранены все проблемы, соответствующие исправлению системы безопасности 2020-01-01 и всем предыдущим исправлениям. О том, как проверить уровень исправления системы безопасности на устройстве, рассказывается в статье о сроках обновления ПО.
2. Что означают сокращения в столбце Тип?
В этом столбце указан тип уязвимости по следующей классификации:
| Сокращение | Описание |
|---|---|
| RCE | Удаленное выполнение кода |
| EoP | Повышение привилегий |
| ID | Раскрытие информации |
| DoS | Отказ в обслуживании |
| Н/Д | Классификация недоступна |
3. Что означает информация в столбце Ссылки?
В таблицах с описанием уязвимостей есть столбец Ссылки. Каждая запись в нем может содержать префикс, указывающий на источник ссылки, а именно:
| Префикс | Значение |
|---|---|
| A- | Идентификатор ошибки Android |
| QC- | Ссылочный номер Qualcomm |
| M- | Ссылочный номер MediaTek |
| N- | Ссылочный номер NVIDIA |
| B- | Ссылочный номер Broadcom |
4. Что означает символ * рядом с идентификатором ошибки Android в столбце Ссылки?
Символ * означает, что исправление для уязвимости не опубликовано. Необходимое обновление обычно содержится в последних исполняемых файлах драйверов для устройств Pixel, которые можно скачать с сайта Google Developers.
5. Почему теперь одни уязвимости описываются в этом бюллетене, а другие – в бюллетенях по безопасности Android?
В бюллетенях по безопасности Android описываются уязвимости, которые необходимо устранить для соответствия последнему уровню исправления системы безопасности Android. Решать дополнительные проблемы, например перечисленные здесь, для этого не требуется.
Версии
| Версия | Дата | Примечания |
|---|---|---|
| 1.0 | 6 января 2020 г. | Бюллетень опубликован. |