Бюллетень по обновлениям Pixel – июнь 2020 г.

Опубликовано 1 июня 2020 г. | Обновлено 27 октября 2020 г.

В этом бюллетене содержится информация об уязвимостях в защите и об улучшениях функциональных возможностей поддерживаемых устройств Pixel (устройств Google). Все проблемы, перечисленные здесь и в бюллетене по безопасности Android за июнь 2020 года, устранены в исправлении 2020-06-05 и более новых. Информацию о том, как проверить уровень исправления системы безопасности на устройстве, можно найти в статье о сроках обновления ПО.

Исправление системы безопасности 2020-06-05 получат все поддерживаемые устройства Google. Мы настоятельно рекомендуем пользователям установить это обновление.

Объявления

  • Помимо исправлений уязвимостей, описанных в бюллетене по безопасности Android за июнь 2020 года, обновления для устройств Google содержат исправления проблем, перечисленных ниже. Партнеры получили информацию о необходимых исправлениях и могут включить их в обновления для своих устройств.

Исправления системы безопасности

Уязвимости сгруппированы по компонентам, которые они затрагивают. Для каждого случая приведены описание и таблица, где указаны CVE, ссылки, тип уязвимости, уровень серьезности и, если применимо, версии AOSP. Где возможно, мы добавляем к идентификатору ошибки ссылку на опубликованное изменение (например, список AOSP). Если таких изменений несколько, дополнительные ссылки указываются в квадратных скобках.

Android Runtime

CVE Ссылки Тип Уровень серьезности Обновленные версии AOSP
CVE-2020-0166 A-124526860 EoP Средний 10
CVE-2020-0187 A-148517383 ID Средний 10

Framework

CVE Ссылки Тип Уровень серьезности Обновленные версии AOSP
CVE-2020-0124 A-140237592 [2] [3] [4] EoP Средний 10
CVE-2020-0203 A-146313311 EoP Средний 10
CVE-2020-0208 A-145207098 EoP Средний 10
CVE-2020-0209 A-145206842 EoP Средний 10
CVE-2020-0210 A-145206763 EoP Средний 10
CVE-2020-0135 A-150949837 ID Средний 10
CVE-2020-0167 A-129475100 ID Средний 10

Media Framework

CVE Ссылки Тип Уровень серьезности Обновленные версии AOSP
CVE-2020-0095 A-150004253* EoP Высокий 10
CVE-2020-0120 A-149995442* EoP Высокий 10
CVE-2019-13135 A-136733674 RCE Средний 10
CVE-2020-0131 A-151159638 RCE Средний 10
CVE-2020-0168 A-137798382 RCE Средний 10
CVE-2020-0190 A-140324890 [2] RCE Средний 10
CVE-2020-0194 A-143826590 RCE Средний 10
CVE-2020-0126 A-137878930 EoP Средний 10
CVE-2020-0179 A-130656917 EoP Средний 10
CVE-2020-0218 A-136005905 EoP Средний 10
CVE-2020-0128 A-123940919 ID Средний 10
CVE-2019-13136 A-154008413 [2] ID Средний 10
CVE-2020-0127 A-140054506 ID Средний 10
CVE-2020-0132 A-139473816 ID Средний 10
CVE-2020-0134 A-146052771 ID Средний 10
CVE-2020-0141 A-142544793 ID Средний 10
CVE-2020-0151 A-133164384 ID Средний 10
CVE-2020-0152 A-145992159 ID Средний 10
CVE-2020-0180 A-142861738 ID Средний 10
CVE-2020-0182 A-147140917 ID Средний 10
CVE-2020-0191 A-140561484 ID Средний 10
CVE-2020-0192 A-144687080 ID Средний 10
CVE-2020-0193 A-144595488 ID Средний 10
CVE-2020-0195 A-144686961 ID Средний 10
CVE-2020-0197 A-137370379 ID Средний 10
CVE-2020-0199 A-142142406 ID Средний 10
CVE-2020-0200 A-147231862 [2] [3] [4] [5] ID Средний 10
CVE-2020-0205 A-147234020 [2] [3] [4] [5] ID Средний 10
CVE-2020-0207 A-135532289 ID Средний 10
CVE-2020-0211 A-147491773 [2] [3] [4] ID Средний 10
CVE-2020-0212 A-135140854 ID Средний 10
CVE-2020-0160 A-124771364 DoS Средний 10
CVE-2020-0161 A-127973550 DoS Средний 10
CVE-2020-0162 A-124526959 DoS Средний 10
CVE-2020-0163 A-124525515 [2] DoS Средний 10
CVE-2020-0169 A-123700383 [2] DoS Средний 10
CVE-2020-0170 A-127310810 [2] DoS Средний 10
CVE-2020-0171 A-127313223 [2] DoS Средний 10
CVE-2020-0172 A-127312550 [2] DoS Средний 10
CVE-2020-0173 A-127313764 [2] DoS Средний 10
CVE-2020-0174 A-127313537 [2] DoS Средний 10
CVE-2020-0175 A-126380818 [2] DoS Средний 10
CVE-2020-0181 A-145075076 DoS Средний 10
CVE-2020-0184 A-141688974 DoS Средний 10
CVE-2020-0189 A-139939283 DoS Средний 10
CVE-2020-0198 A-146428941 DoS Средний 10

Система

CVE Ссылки Тип Уровень серьезности Обновленные версии AOSP
CVE-2020-0233 A-150225255* EoP Высокий 10
CVE-2020-0138 A-142878416 RCE Средний 10
CVE-2020-0217 A-141331405 RCE Средний 10
CVE-2020-0129 A-123292010 EoP Средний 10
CVE-2020-0133 A-145136060 EoP Средний 10
CVE-2020-0136 A-120078455 [2] EoP Средний 10
CVE-2020-0137 A-141920289 EoP Средний 10
CVE-2020-0150 A-142280329 EoP Средний 10
CVE-2020-0153 A-139733543 EoP Средний 10
CVE-2020-0155 A-139736386 EoP Средний 10
CVE-2020-0165 A-139532977 EoP Средний 10
CVE-2020-0177 A-126206353 EoP Средний 10
CVE-2020-0183 A-110181479 [2] [3] EoP Средний 10
CVE-2020-0186 A-146144463 EoP Средний 10
CVE-2020-0188 A-147355897 EoP Средний 10
CVE-2020-0201 A-143601727 EoP Средний 10
CVE-2020-0204 A-136498130 EoP Средний 10
CVE-2020-0216 A-126204073 EoP Средний 10
CVE-2020-0219 A-122836081 EoP Средний 10
CVE-2020-0139 A-145520471 ID Средний 10
CVE-2020-0140 A-146053215 ID Средний 10
CVE-2020-0142 A-146435761 ID Средний 10
CVE-2020-0143 A-145597277 ID Средний 10
CVE-2020-0144 A-142543497 ID Средний 10
CVE-2020-0145 A-142544079 ID Средний 10
CVE-2020-0146 A-142546561 ID Средний 10
CVE-2020-0147 A-142638392 ID Средний 10
CVE-2020-0148 A-142638492 ID Средний 10
CVE-2020-0149 A-142544089 ID Средний 10
CVE-2020-0154 A-141550919 ID Средний 10
CVE-2020-0156 A-139736127 ID Средний 10
CVE-2020-0157 A-139740814 ID Средний 10
CVE-2020-0158 A-141547128 ID Средний 10
CVE-2020-0159 A-140768035 ID Средний 10
CVE-2020-0164 A-139736125 ID Средний 10
CVE-2020-0176 A-79702484 ID Средний 10
CVE-2020-0178 A-143299398 ID Средний 10
CVE-2020-0185 A-79945152 ID Средний 10
CVE-2020-0214 A-140292264 ID Средний 10
CVE-2019-16275 A-145681598 DoS Средний 10
CVE-2020-0196 A-144066833 DoS Средний 10
CVE-2020-0206 A-136005061 DoS Средний 10

Компоненты ядра

CVE Ссылки Тип Уровень серьезности Компонент
CVE-2019-18683 A-145794623
Upstream kernel
EoP Средний V4L2
CVE-2019-19526 A-146258319
Upstream kernel
EoP Средний Драйвер NFC
CVE-2019-19529 A-146258054
Upstream kernel
EoP Средний Драйвер mcba_USB
CVE-2019-19543 A-148498008
Upstream kernel
EoP Средний Драйвер для ИК-сенсора
CVE-2019-19767 A-146972026
Upstream kernel
EoP Средний ext4
CVE-2020-0223 A-135130450* EoP Средний Аудио
CVE-2020-0232 A-151453714* EoP Средний Airbrush
CVE-2020-0234 A-148189280* EoP Средний Аудио
CVE-2020-0235 A-135129430* EoP Средний Аудио
CVE-2020-0305 A-153467744
Upstream kernel
EoP Средний Ядро
CVE-2019-18786 A-148387117
Upstream kernel
ID Средний Драйвер R-Car DRIF
CVE-2019-19071 A-145044845
Upstream kernel
DoS Средний Драйвер RSI_91x WiFi

Компоненты Qualcomm

CVE Ссылки Тип Уровень серьезности Компонент
CVE-2019-10501 A-123583662
QC-CR#2399130
Средний Аудио
CVE-2019-10626 A-145550580
QC-CR#2495465 [2]
Средний Аудио
CVE-2019-14091 A-145549566
QC-CR#2511932
Средний Ядро

Компоненты Qualcomm с закрытым исходным кодом

CVE Ссылки Тип Уровень серьезности Компонент
CVE-2019-14092 A-145550499* Средний Компонент с закрытым исходным кодом
CVE-2019-14094 A-145551234* Средний Компонент с закрытым исходным кодом

Функциональные исправления

Подробную информацию об исправлениях ошибок и улучшениях функциональных возможностей, включенных в этот выпуск, можно найти на справочном форуме Pixel.

Часто задаваемые вопросы

В этом разделе мы отвечаем на вопросы, которые могут возникнуть после прочтения бюллетеня.

1. Как определить, установлено ли на устройство обновление, в котором устранены перечисленные проблемы?

В исправлении 2020-06-05 и более новых устранены все проблемы, соответствующие исправлению системы безопасности 2020-06-05 и всем предыдущим исправлениям. Информацию о том, как проверить уровень исправления системы безопасности на устройстве, можно найти в статье о сроках обновления ПО.

2. Что означают сокращения в столбце Тип?

В этом столбце указан тип уязвимости по следующей классификации:

Сокращение Описание
RCE Удаленное выполнение кода
EoP Повышение привилегий
ID Раскрытие информации
DoS Отказ в обслуживании
Классификация недоступна

3. Что означает информация в столбце Ссылки?

В таблицах с описанием уязвимостей есть столбец Ссылки. Каждая запись в нем может содержать префикс, указывающий на источник ссылки, а именно:

Префикс Значение
A- Идентификатор ошибки Android
QC- Ссылочный номер Qualcomm
M- Ссылочный номер MediaTek
N- Ссылочный номер NVIDIA
B- Ссылочный номер Broadcom

4. Что означает символ * рядом с идентификатором ошибки Android в столбце Ссылки?

Символ * означает, что исправление для уязвимости не опубликовано. Необходимое обновление обычно содержится в последних исполняемых файлах драйверов для устройств Pixel, которые можно скачать с сайта Google Developers.

5. Почему одни уязвимости описываются в этом бюллетене, а другие – в бюллетенях по безопасности Android?

В бюллетене по безопасности Android приведены уязвимости, которые нужно устранить для соответствия последнему уровню исправления системы безопасности Android. Решать для этого другие проблемы, например перечисленные здесь, необязательно.

Версии

Версия Дата Примечания
1.0 1 июня 2020 г. Бюллетень опубликован.
1.1 2 июня 2020 г. Добавлены ссылки на AOSP.
1.2 29 июня 2020 г. Изменена таблица с идентификаторами CVE.
1.3 12 октября 2020 г. Обновлены записи для CVE-2020-0213 и CVE-2020-0215.
1.4 27 октября 2020 г. Изменена таблица с идентификаторами CVE.
1.5 3 июня 2022 г. Изменена таблица с идентификаторами CVE.