Бюллетень по обновлениям Pixel – декабрь 2020 г.

Опубликовано 7 декабря 2020 г. | Обновлено 10 февраля 2021 г.

В этом бюллетене содержится информация об уязвимостях в защите и об улучшениях функциональных возможностей поддерживаемых устройств Pixel (устройств Google). Для устройств Google исправления системы безопасности 2020-12-05 или более поздние устраняют все проблемы, указанные в этом бюллетене, и все проблемы, указанные в бюллетене по безопасности Android за декабрь 2020 года. Информацию о том, как проверить версию системы безопасности на устройстве, можно найти в Справочном центре.

Обновление системы безопасности 2020-12-05 получат все поддерживаемые устройства Google. Мы настоятельно рекомендуем пользователям установить это обновление.

Объявления

  • Помимо исправлений уязвимостей, описанных в бюллетене по безопасности Android за декабрь 2020 года, обновления для устройств Google содержат также исправления проблем, перечисленных ниже. Партнеры были уведомлены об этих проблемах и могут включить их исправления в свои обновления системы безопасности.

Обновления системы безопасности

Уязвимости сгруппированы по компонентам, которые они затрагивают. Для каждого случая приведены описание и таблица, где указаны CVE, ссылки, тип уязвимости, уровень серьезности и, если применимо, версии AOSP. Где возможно, мы добавляем к идентификатору ошибки ссылку на опубликованное изменение (например, список AOSP). Когда несколько изменений относятся к одной ошибке, дополнительные ссылки перечислены в квадратных скобках.

Framework

CVE Ссылки Тип Уровень серьезности Компонент
CVE-2020-0475 A-162324374 EoP Средний 11
CVE-2020-0479 A-157294893 EoP Средний 11
CVE-2020-0480 A-157320716 EoP Средний 11
CVE-2020-0485 A-166125765 EoP Средний 11
CVE-2020-0486 A-150857116 EoP Средний 11
CVE-2020-27052 A-158833495 EoP Средний 11
CVE-2020-0482 A-150706572 ID Средний 11
CVE-2020-0493 A-150615407 ID Средний 11
CVE-2020-0495 A-155473137 ID Средний 11
CVE-2020-0496 A-149481220 ID Средний 11
CVE-2020-0497 A-158481661 ID Средний 11
CVE-2020-0500 A-154913391 ID Средний 11
CVE-2020-27026 A-79776455 ID Средний 11

Media Framework

CVE Ссылки Тип Уровень серьезности Компонент
CVE-2020-0489 A-151096540 RCE Средний 11
CVE-2020-0474 A-169282240 EoP Средний 11
CVE-2020-0478 A-150780418 EoP Средний 11
CVE-2020-0483 A-155647761 [2] EoP Средний 11
CVE-2020-0484 A-155769496 EoP Средний 11
CVE-2020-0244 A-145262423 ID Средний 11
CVE-2020-0488 A-158484516 ID Средний 11
CVE-2020-0490 A-155560008 ID Средний 11
CVE-2020-0492 A-154058264 ID Средний 11
CVE-2020-0494 A-152895390 ID Средний 11
CVE-2020-0498 A-160633884 ID Средний 11
CVE-2020-0499 A-156076070 ID Средний 11
CVE-2020-27035 A-152239213 ID Средний 11
CVE-2020-27057 A-161903239 [2] [3] [4] ID Средний 11
CVE-2017-6888 A-124775381 DoS Средний 11
CVE-2020-0491 A-156819528 DoS Средний 11
CVE-2020-27038 A-154302257 DoS Средний 11

Система

CVE Ссылки Тип Уровень серьезности Компонент
CVE-2020-0202 A-142936525 EoP Средний 11
CVE-2020-0473 A-160691486 EoP Средний 11
CVE-2020-0481 A-157472962 EoP Средний 11
CVE-2020-27030 A-150612638 EoP Средний 11
CVE-2020-27036 A-153731369 EoP Средний 11
CVE-2020-27044 A-157066561 EoP Средний 11
CVE-2020-27045 A-157649398 EoP Средний 11
CVE-2020-27048 A-157650117 EoP Средний 11
CVE-2020-27049 A-157649467 EoP Средний 11
CVE-2020-27050 A-157650365 EoP Средний 11
CVE-2020-27051 A-157650338 EoP Средний 11
CVE-2020-27054 A-159061926 EoP Средний 11
CVE-2020-0280 A-136565424 [2] ID Средний 11
CVE-2020-0476 A-162014574 ID Средний 11
CVE-2020-0477 A-162246414 [2] ID Средний 11
CVE-2020-27021 A-168712245 ID Средний 11
CVE-2020-27023 A-156009462 ID Средний 11
CVE-2020-27024 A-162327732 ID Средний 11
CVE-2020-27025 A-156008365 ID Средний 11
CVE-2020-27027 A-122358602 ID Средний 11
CVE-2020-27028 A-141618611 ID Средний 11
CVE-2020-27031 A-151313205 ID Средний 11
CVE-2020-27032 A-150857259 ID Средний 11
CVE-2020-27033 A-153655153 ID Средний 11
CVE-2020-27034 A-153556754 ID Средний 11
CVE-2020-27037 A-153731335 ID Средний 11
CVE-2020-27039 A-153878498 ID Средний 11
CVE-2020-27040 A-153731880 ID Средний 11
CVE-2020-27041 A-154928507 ID Средний 11
CVE-2020-27043 A-155234594 ID Средний 11
CVE-2020-27046 A-157649306 ID Средний 11
CVE-2020-27047 A-157649298 ID Средний 11
CVE-2020-27053 A-159371448 ID Средний 11
CVE-2020-27055 A-161378819 ID Средний 11
CVE-2020-27056 A-161356067 [2] ID Средний 11
CVE-2020-27029 A-140218875 [2] DoS Средний 11

Компоненты ядра

CVE Ссылки Тип Уровень серьезности Компонент
CVE-2020-13143 A-157291413 EoP Средний USB-драйвер
CVE-2020-25220 A-168590505 EoP Средний Сеть
CVE-2020-27066 A-168043318* EoP Средний ipv6 xfrm
CVE-2020-27067 A-152409173 [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] [15] [16] [17] [18] [19] [20] [21] [22] [23] [24] EoP Средний Подсистема L2TP на Linux
CVE-2018-16862 A-124036681 ID Средний Управление памятью
CVE-2019-19535 A-146642941 ID Средний Драйвер PCAN-USB FD
CVE-2020-27068 A-119770583 ID Средний Netlink
CVE-2019-20812 A-158178081 DoS Средний Сеть

Компоненты Qualcomm

CVE Ссылки Тип Уровень серьезности Компонент
CVE-2020-11152 A-129282808
QC-CR#2144976
Н/Д Средний Обработка спутниковых данных на уровне HAL
CVE-2020-11183 A-72228042
QC-CR#2114346 [2]
Н/Д Средний Графика
CVE-2020-11148 A-150222083
QC-CR#2542923
Н/Д Средний Bluetooth-сервис Qualcomm
CVE-2020-11149 A-158197715
QC-CR#2594185 [2] [3]
Н/Д Средний Камера
CVE-2020-11150 A-158198197
QC-CR#2629969 [2]
Н/Д Средний Камера
CVE-2020-11151 A-158198372
QC-CR#2631383 [2]
Н/Д Средний Видео

Улучшения функциональных возможностей

Подробная информация об исправлениях ошибок и улучшениях функциональных возможностей, включенных в этот выпуск, доступна на справочном форуме Pixel.

Часто задаваемые вопросы

В этом разделе мы отвечаем на вопросы, которые могут возникнуть после прочтения бюллетеня.

1. Как определить, установлено ли на устройство обновление, в котором устранены перечисленные проблемы?

В исправлении 2020-12-05 и более поздних устранены все проблемы, соответствующие исправлению системы безопасности 2020-12-05 и всем предыдущим исправлениям. Информацию о том, как проверить версию исправления системы безопасности на устройстве, можно найти в статье о сроках обновления Android на устройствах Pixel и Nexus.

2. Что означают сокращения в столбце Тип?

В этом столбце указан тип уязвимости по следующей классификации:

Сокращение Описание
RCE Удаленное выполнение кода (Remote code execution)
EoP Повышение привилегий (Elevation of privilege)
ID Раскрытие информации (Information disclosure)
DoS Отказ в обслуживании (Denial of service)
Н/Д Классификация недоступна

3. Что означает информация в столбце Ссылки?

В таблицах с описанием уязвимостей есть столбец Ссылки. Каждая запись в нем может содержать префикс, указывающий на источник ссылки, а именно:

Префикс Значение
A- Идентификатор ошибки Android
QC- Ссылочный номер Qualcomm
M- Ссылочный номер MediaTek
N- Ссылочный номер NVIDIA
B- Ссылочный номер Broadcom

4. Что означает символ * рядом с идентификатором ошибки Android в столбце Ссылки?

Символ * означает, что исправление для уязвимости не опубликовано. Необходимое обновление обычно содержится в последних исполняемых файлах драйверов для устройств Pixel, которые можно скачать с сайта Google Developers.

5. Почему теперь одни уязвимости описываются в этом бюллетене, а другие – в бюллетенях по безопасности Android?

В бюллетене по безопасности Android описаны уязвимости, устранить которые необходимо для соответствия последнему уровню исправления Android. Дополнительные проблемы (например, описанные в этом бюллетене) необязательно устранять для достижения уровня исправления.

Версии

Версия Дата Примечания
1.0 7 декабря 2020 г. Бюллетень опубликован.
1.1 10 декабря 2020 г. Добавлены ссылки на AOSP.
1.2 1 января 2021 г. Изменена таблица с идентификаторами CVE.
1.3 10 февраля 2021 г. Изменена таблица с идентификаторами CVE.