Бюллетень по обновлениям Pixel – март 2020 г.

Опубликовано 2 марта 2020 г. | Обновлено 3 марта 2020 г.

В этом бюллетене содержится информация об уязвимостях в защите и об улучшениях функциональных возможностей поддерживаемых устройств Pixel (устройств Google). Для устройств Google исправления системы безопасности 2020-03-05 или более поздние устраняют все проблемы, указанные в этом бюллетене, и все проблемы, указанные в бюллетене по безопасности Android за март 2020 года. Информацию о том, как проверить версию исправления системы безопасности на устройстве, можно найти в Справочном центре.

Исправление системы безопасности 2020-03-05 получат все поддерживаемые устройства Google. Мы настоятельно рекомендуем пользователям установить это обновление.

Объявления

  • Помимо исправлений уязвимостей, описанных в бюллетене по безопасности Android за март 2020 года, обновления для устройств Google содержат также исправления проблем, перечисленных ниже. Партнеры были уведомлены об этих проблемах и могут включить их исправления в свои обновления системы безопасности.

Обновления системы безопасности

Уязвимости сгруппированы по компонентам, которые они затрагивают. Для каждого случая приведены описание и таблица, где указаны CVE, ссылки, тип уязвимости, уровень серьезности и, если применимо, версии AOSP. Где возможно, мы добавляем к идентификатору ошибки ссылку на опубликованное изменение (например, список AOSP). Когда несколько изменений относятся к одной ошибке, дополнительные ссылки перечислены в квадратных скобках.

Framework

CVE Ссылки Тип Уровень серьезности Обновленные версии AOSP
CVE-2020-0045 A-141243101 EoP Средний 10
CVE-2020-0084 A-143339775 EoP Средний 10
CVE-2020-0087 A-127989044 [2] ID Средний 10

Media Framework

CVE Ссылки Тип Уровень серьезности Обновленные версии AOSP
CVE-2020-0046 A-137284652 EoP Средний 10
CVE-2020-0047 A-141622311 EoP Средний 10
CVE-2020-0048 A-139417189 ID Средний 10
CVE-2020-0049 A-140177694 ID Средний 10

Система

CVE Ссылки Тип Уровень серьезности Обновленные версии AOSP
CVE-2020-0061 A-145504977* ID Высокий 10
CVE-2020-0062 A-143232031* ID Высокий 10
CVE-2020-0050 A-124521372 EoP Средний 10
CVE-2020-0051 A-138442483 EoP Средний 10
CVE-2020-0052 A-137102479 EoP Средний 10
CVE-2020-0053 A-143789898 EoP Средний 10
CVE-2020-0054 A-146642727 [2] EoP Средний 10
CVE-2020-0085 A-134487438 [2] [3] EoP Средний 10
CVE-2020-0063 A-143128911* EoP Средний 10
CVE-2020-0055 A-141617601 ID Средний 10
CVE-2020-0056 A-141619686 ID Средний 10
CVE-2020-0057 A-141620271 ID Средний 10
CVE-2020-0058 A-141745011 ID Средний 10
CVE-2020-0059 A-142543524 ID Средний 10
CVE-2020-0060 A-143229845 ID Средний 10
CVE-2020-0083 A-142797954 [2] DoS Средний 10

Компоненты ядра

CVE Ссылки Тип Уровень серьезности Компонент
CVE-2019-10126 A-136544114
Upstream kernel
RCE Средний Беспроводной драйвер ядра Marvell Mwifiex
CVE-2019-17133 A-145728911
Upstream kernel
RCE Средний Беспроводная подсистема
CVE-2019-3846 A-134819290
Upstream kernel
RCE Средний Беспроводной драйвер ядра Marvell Mwifiex
CVE-2019-14815 A-145728909
Upstream kernel
RCE Средний Драйвер Wi-Fi Marvell Mwifiex
CVE-2019-15926 A-141043210
Upstream kernel
RCE Средний Wi-Fi AR600x
CVE-2019-13272 A-137670911
Upstream kernel
EoP Средний ptrace
CVE-2019-13631 A-138638402
Upstream kernel
EoP Средний USB-драйвер для дигитайзера GTCO
CVE-2019-14821 A-139813180
Upstream kernel
EoP Средний KVM в Linux
CVE-2019-15211 A-140329273
Upstream kernel
EoP Средний Драйвер V4L2
CVE-2019-15212 A-140328994
Upstream kernel
EoP Средний Драйвер Rio 500
CVE-2019-15213 A-140329468
Upstream kernel
EoP Средний USB-драйвер DVB
CVE-2019-15215 A-140329766
Upstream kernel
EoP Средний USB-драйвер CPia2
CVE-2019-15666 A-140369321
Upstream kernel
EoP Средний IP-фреймворк XFRM
CVE-2019-17052 A-145728199
Upstream kernel [2]
EoP Средний Сеть
CVE-2019-19525 A-146258237
Upstream kernel
EoP Средний USB-драйвер IEEE 802.15.4
CVE-2020-0066 A-65025077
Upstream kernel
EoP Средний Драйвер Netlink
CVE-2019-10638 A-137737889
Upstream kernel [2] [3]
ID Средний Драйвер Inet
CVE-2019-14283 A-139989665
Upstream kernel
ID Средний Драйвер для дисковода
CVE-2019-15090 A-140329272
Upstream kernel
ID Средний SCSI-драйвер
CVE-2019-15117 A-140328199
Upstream kernel
ID Средний Аудиодрайвер USB
CVE-2019-15505 A-140329295
Upstream kernel
ID Средний USB-драйвер TechniSat
CVE-2019-11477 A-135470293
Upstream kernel
DoS Средний TCP
CVE-2019-11478 A-135469925
Upstream kernel
DoS Средний TCP
CVE-2019-11479 A-135471734
Upstream kernel [2]
DoS Средний TCP

Компоненты Qualcomm

CVE Ссылки Тип Уровень серьезности Компонент
CVE-2019-2264 A-113600760
QC-CR#2155992
Н/Д Средний Ядро
CVE-2019-10544 A-140422956
QC-CR#2431047
QC-CR#2434573
Н/Д Средний Сервисы
CVE-2019-10584 A-140424129
QC-CR#2456675 [2]
Н/Д Средний Видео
CVE-2019-10623 A-141099048
QC-CR#2409913
Н/Д Средний WConnect

Компоненты Qualcomm с закрытым исходным кодом

CVE Ссылки Тип Уровень серьезности Компонент
CVE-2019-10561 A-137032530* Н/Д Средний Компонент с закрытым исходным кодом
CVE-2019-10592 A-132781007* Н/Д Средний Компонент с закрытым исходным кодом

Функциональные исправления

Подробная информация об исправлениях ошибок и улучшениях функциональных возможностей, включенных в этот выпуск, доступна на справочном форуме Pixel.

Часто задаваемые вопросы

В этом разделе мы отвечаем на вопросы, которые могут возникнуть после прочтения бюллетеня.

1. Как определить, установлено ли на устройство обновление, в котором устранены перечисленные проблемы?

В исправлении 2020-03-05 и более поздних устранены все проблемы, соответствующие исправлению системы безопасности 2020-03-05 и всем предыдущим исправлениям. Информацию о том, как проверить версию системы безопасности на своем устройстве, можно найти в этой статье.

2. Что означают сокращения в столбце Тип?

В этом столбце указан тип уязвимости по следующей классификации:

Сокращение Описание
RCE Удаленное выполнение кода (Remote code execution)
EoP Повышение привилегий (Elevation of privilege)
ID Раскрытие информации (Information disclosure)
DoS Отказ в обслуживании (Denial of service)
Н/Д Классификация недоступна

3. Что означает информация в столбце Ссылки?

В таблицах с описанием уязвимостей есть столбец Ссылки. Каждая запись в нем может содержать префикс, указывающий на источник ссылки, а именно:

Префикс Значение
A- Идентификатор ошибки Android
QC- Ссылочный номер Qualcomm
M- Ссылочный номер MediaTek
N- Ссылочный номер NVIDIA
B- Ссылочный номер Broadcom

4. Что означает символ * рядом с идентификатором ошибки Android в столбце Ссылки?

Символ * означает, что исправление для уязвимости не опубликовано. Необходимое обновление обычно содержится в последних исполняемых файлах драйверов для устройств Pixel, которые можно скачать с сайта Google Developers.

5. Почему теперь одни уязвимости описываются в этом бюллетене, а другие – в бюллетенях по безопасности Android?

В бюллетене по безопасности Android описаны уязвимости, устранить которые необходимо для соответствия последнему уровню исправления Android. Дополнительные проблемы (например, описанные в этом бюллетене) необязательно устранять для достижения уровня исправления.

Версии

Версия Дата Примечания
1.0 2 марта 2020 года Бюллетень опубликован.
1.1 3 марта 2020 г. Добавлены ссылки на AOSP.