Опубликован 5 октября 2020 г. | Обновлен 6 октября 2020 г.
В этом бюллетене содержится информация об уязвимостях в защите устройств Android. Все перечисленные здесь проблемы устранены в исправлении 2020-10-05 и более новых. Информацию о том, как проверить уровень исправления системы безопасности на устройстве, можно найти в статье о сроках обновления ПО.
Мы сообщаем партнерам Android обо всех проблемах не менее чем за месяц до выхода бюллетеня. Исправления уязвимостей доступны в хранилище Android Open Source Project (AOSP). В бюллетене также приведены ссылки на исправления вне AOSP.
Самая опасная из проблем – уязвимость высокого уровня серьезности в компоненте "Система", позволяющая злоумышленнику удаленно получить доступ к дополнительным разрешениям с помощью специально созданной передачи. Уровень серьезности зависит от того, какой ущерб потенциально может быть нанесен устройству, если средства защиты будут отключены в целях разработки или злоумышленнику удастся их обойти.
О том, как платформа безопасности и Google Play Защита помогают снизить вероятность использования уязвимостей Android, рассказывается в разделе Предотвращение атак.
Предотвращение атак
Здесь описано, как платформа безопасности Android и такие сервисы, как Google Play Защита, позволяют снизить вероятность успешного использования уязвимостей Android.
- В новых версиях Android сложнее использовать многие уязвимости, поэтому мы рекомендуем всем своевременно обновлять систему.
- Команда, отвечающая за безопасность Android, активно отслеживает злоупотребления с помощью Google Play Защиты и предупреждает пользователей об установке потенциально опасных приложений. Google Play Защита по умолчанию включена на телефонах и планшетах, использующих сервисы Google для мобильных устройств. Она особенно важна, если устанавливаются приложения не из Google Play.
Описание уязвимостей (исправление системы безопасности 2020-10-01)
В этом разделе вы найдете подробную информацию обо всех уязвимостях, устраненных в исправлении системы безопасности 2020-10-01. Проблемы сгруппированы по компонентам, которые они затрагивают. Для каждого случая приведена таблица, где указаны идентификаторы CVE, ссылки, тип уязвимости, уровень серьезности и, если применимо, версии AOSP. Где возможно, мы добавляем к идентификатору ошибки ссылку на опубликованное изменение (например, список AOSP). Если таких изменений несколько, дополнительные ссылки приводятся в квадратных скобках. Устройства с Android 10 или более поздней версией ОС могут получать обновления системы безопасности, а также обновления системы через Google Play.
Android Runtime
Указанная ниже уязвимость позволяет злоумышленнику локально выполнять произвольный код в контексте приложения, которое использует библиотеку.
| CVE | Ссылки | Тип | Уровень серьезности | Обновленные версии AOSP |
|---|---|---|---|---|
| CVE-2020-0408 | A-156999009 | EoP | Высокий | 8.0, 8.1, 9, 10, 11 |
Framework
Самая серьезная уязвимость позволяет локальному вредоносному приложению обойти требования к взаимодействию с пользователем и получить доступ к дополнительным разрешениям.
| CVE | Ссылки | Тип | Уровень серьезности | Обновленные версии AOSP |
|---|---|---|---|---|
| CVE-2020-0420 |
A-162383705 | EoP | Высокий | 11 |
| CVE-2020-0421 | A-161894517 | EoP | Высокий | 8.0, 8.1, 9, 10, 11 |
| CVE-2020-0246 |
A-159062405 | ID | Высокий | 10, 11 |
| CVE-2020-0412 |
A-160390416 | ID | Высокий | 8.0, 8.1, 9, 10, 11 |
| CVE-2020-0419 |
A-142125338 | ID | Высокий | 8.1, 9, 10, 11 |
Media Framework
Самая серьезная уязвимость позволяет злоумышленнику, не обладающему дополнительными правами на выполнение кода, удаленно раскрывать информацию.
| CVE | Ссылки | Тип | Уровень серьезности | Обновленные версии AOSP |
|---|---|---|---|---|
| CVE-2020-0213 | A-143464314 | ID | Высокий | 10, 11 |
| CVE-2020-0411 | A-142641801 | ID | Высокий | 10, 11 |
| CVE-2020-0414 |
A-157708122 | ID | Высокий | 10, 11 |
| CVE-2019-2194 |
A-137284057 | EoP | Средний | 9 |
Система
Самая серьезная уязвимость позволяет злоумышленнику удаленно получить доступ к дополнительным разрешениям с помощью специально созданной передачи.
| CVE | Ссылки | Тип | Уровень серьезности | Обновленные версии AOSP |
|---|---|---|---|---|
| CVE-2020-0215 |
A-140417248 [2] | EoP | Высокий | 8.0, 8.1, 9, 10, 11 |
| CVE-2020-0416 |
A-155288585 [2] | EoP | Высокий | 8.0, 8.1, 9, 10, 11 |
| CVE-2020-0377 |
A-158833854 | ID | Высокий | 8.0, 8.1, 9, 10, 11 |
| CVE-2020-0378 |
A-157748906 | ID | Высокий | 9, 10, 11 |
| CVE-2020-0398 |
A-154323381 | ID | Высокий | 10, 11 |
| CVE-2020-0400 |
A-153356561 | ID | Высокий | 10, 11 |
| CVE-2020-0410 |
A-156021269 | ID | Высокий | 8.0, 8.1, 9, 10, 11 |
| CVE-2020-0413 |
A-158778659 | ID | Высокий | 8.0, 8.1, 9, 10, 11 |
| CVE-2020-0415 |
A-156020795 | ID | Высокий | 8.0, 8.1, 9, 10, 11 |
| CVE-2020-0422 |
A-161718556 | ID | Высокий | 8.0, 8.1, 9, 10, 11 |
Обновления системы через Google Play
Исправления указанных ниже уязвимостей включены в компоненты проекта Mainline.
| Компонент | CVE |
|---|---|
| Медиакодеки | CVE-2020-0213 |
| Компоненты Media Framework | CVE-2020-0411 |
Описание уязвимостей (исправление системы безопасности 2020-10-05)
В этом разделе вы найдете подробную информацию обо всех уязвимостях, устраненных в исправлении системы безопасности 2020-10-05. Проблемы сгруппированы по компонентам, которые они затрагивают. Для каждого случая приведена таблица, где указаны идентификаторы CVE, ссылки, тип уязвимости, уровень серьезности и, если применимо, версии AOSP. Где возможно, мы добавляем к идентификатору ошибки ссылку на опубликованное изменение (например, список AOSP). Если опубликованных изменений несколько, дополнительные ссылки указаны в квадратных скобках.
Ядро
Указанная ниже уязвимость позволяет злоумышленнику локально выполнять произвольный код в контексте привилегированного процесса с помощью специально созданного файла.
| CVE | Ссылки | Тип | Уровень серьезности | Компонент |
|---|---|---|---|---|
| CVE-2020-0423 | A-161151868* | EoP | Высокий | Binder |
Компоненты MediaTek
Указанные ниже уязвимости затрагивают компоненты MediaTek. Подробную информацию об этих проблемах можно получить от компании MediaTek. Уровень их серьезности определяется непосредственно компанией MediaTek.
| CVE | Ссылки | Уровень серьезности | Компонент |
|---|---|---|---|
| CVE-2020-0283 | A-163008257
M-ALPS05229282* |
Высокий | KeyInstall |
| CVE-2020-0339 | A-162980705
M-ALPS05194445* |
Высокий | Widevine |
| CVE-2020-0367 |
A-162980455
M-ALPS05194445* |
Высокий | Widevine |
| CVE-2020-0371 | A-163008256
M-ALPS05229226* |
Высокий | KeyInstall |
| CVE-2020-0376 |
A-163003156
M-ALPS05194415* |
Высокий | ISP |
Компоненты Qualcomm
Указанные ниже уязвимости затрагивают компоненты Qualcomm и подробно описаны в бюллетенях по безопасности или оповещениях системы безопасности Qualcomm. Уровень серьезности этих проблем определяется непосредственно компанией Qualcomm.
| CVE | Ссылки | Уровень серьезности | Компонент |
|---|---|---|---|
| CVE-2020-11125 | A-160605820
QC-CR#2617422 QC-CR#2673763 |
Высокий | Ядро |
| CVE-2020-11162 | A-160605604
QC-CR#2677376 |
Высокий | Ядро |
| CVE-2020-11173 | A-160605709
QC-CR#2646001 |
Высокий | Ядро |
| CVE-2020-11174 | A-160605900
QC-CR#2636449 |
Высокий | Ядро |
Компоненты Qualcomm с закрытым исходным кодом
Указанные ниже уязвимости затрагивают компоненты Qualcomm с закрытым исходным кодом и подробно описаны в бюллетенях по безопасности или в оповещениях системы безопасности Qualcomm. Уровень серьезности этих проблем определяется непосредственно компанией Qualcomm.
| CVE | Ссылки | Уровень серьезности | Компонент |
|---|---|---|---|
| CVE-2020-3654 | A-153346045* | Критический | Компонент с закрытым исходным кодом |
| CVE-2020-3657 | A-153344684* | Критический | Компонент с закрытым исходным кодом |
| CVE-2020-3673 | A-153345154* | Критический | Компонент с закрытым исходным кодом |
| CVE-2020-3692 | A-153345116* | Критический | Компонент с закрытым исходным кодом |
| CVE-2020-11154 |
A-160605708* | Критический | Компонент с закрытым исходным кодом |
| CVE-2020-11155 | A-160605404* | Критический | Компонент с закрытым исходным кодом |
| CVE-2020-3638 | A-153346253* | Высокий | Компонент с закрытым исходным кодом |
| CVE-2020-3670 | A-153345118* | Высокий | Компонент с закрытым исходным кодом |
| CVE-2020-3678 | A-153345398* | Высокий | Компонент с закрытым исходным кодом |
| CVE-2020-3684 | A-153346047* | Высокий | Компонент с закрытым исходным кодом |
| CVE-2020-3690 | A-153344723* | Высокий | Компонент с закрытым исходным кодом |
| CVE-2020-3703 | A-160605749* | Высокий | Компонент с закрытым исходным кодом |
| CVE-2020-3704 | A-160605508* | Высокий | Компонент с закрытым исходным кодом |
| CVE-2020-11141 | A-160606016* | Высокий | Компонент с закрытым исходным кодом |
| CVE-2020-11156 | A-160605294* | Высокий | Компонент с закрытым исходным кодом |
| CVE-2020-11157 | A-160605864* | Высокий | Компонент с закрытым исходным кодом |
| CVE-2020-11164 | A-160605595* | Высокий | Компонент с закрытым исходным кодом |
| CVE-2020-11169 | A-160605405* | Высокий | Компонент с закрытым исходным кодом |
Часто задаваемые вопросы
В этом разделе мы отвечаем на вопросы, которые могут возникнуть после прочтения бюллетеня.
1. Как определить, установлено ли на устройство обновление, в котором устранены перечисленные проблемы?
Информацию о том, как проверить уровень исправления системы безопасности на устройстве, можно найти в статье о сроках обновления ПО.
- В исправлении 2020-10-01 и более новых устранены все проблемы, соответствующие исправлению системы безопасности 2020-10-01.
- В исправлении 2020-10-05 и более новых устранены все проблемы, соответствующие исправлению системы безопасности 2020-10-05 и всем предыдущим исправлениям.
Производители устройств, распространяющие эти обновления, должны установить следующие уровни:
- [ro.build.version.security_patch]:[2020-10-01]
- [ro.build.version.security_patch]:[2020-10-05]
В обновлении системы через Google Play для некоторых устройств с Android 10 или более поздней версией ОС будет указана дата, совпадающая с датой исправления 2020-10-01. Подробные сведения об установке обновлений системы безопасности можно найти в этой статье.
2. Почему в этом бюллетене говорится о двух исправлениях системы безопасности?
Мы включили в этот бюллетень сведения о двух исправлениях, чтобы помочь нашим партнерам как можно скорее устранить уязвимости, затрагивающие все устройства Android. Рекомендуем партнерам Android исправить все вышеперечисленные проблемы и установить последнее исправление системы безопасности.
- На устройствах с установленным исправлением 2020-10-01 должны быть устранены все охваченные им проблемы, а также уязвимости, упомянутые в предыдущих выпусках бюллетеня.
- На устройствах с установленным исправлением 2020-10-05 или более новым должны быть решены все проблемы, описанные в этом бюллетене и предыдущих выпусках.
Рекомендуем партнерам собрать все исправления проблем в одно обновление.
3. Что означают сокращения в столбце Тип?
В этом столбце указан тип уязвимости по следующей классификации:
| Сокращение | Описание |
|---|---|
| RCE | Удаленное выполнение кода |
| EoP | Повышение уровня привилегий |
| ID | Раскрытие информации |
| DoS | Отказ в обслуживании |
| Н/Д | Классификация недоступна |
4. Что означает информация в столбце Ссылки?
В таблицах с описанием уязвимостей есть столбец Ссылки. Каждая запись в нем может содержать префикс, указывающий на источник ссылки, а именно:
| Префикс | Значение |
|---|---|
| A- | Идентификатор ошибки Android |
| QC- | Ссылочный номер Qualcomm |
| M- | Ссылочный номер MediaTek |
| N- | Ссылочный номер NVIDIA |
| B- | Ссылочный номер Broadcom |
5. Что означает символ * рядом с идентификатором ошибки Android в столбце Ссылки?
Символ * означает, что исправление для уязвимости не опубликовано. Необходимое обновление может содержаться в последних исполняемых файлах драйверов для устройств Pixel, которые можно скачать с сайта Google Developers.Символ * означает, что исправление для уязвимости не опубликовано. Необходимое обновление может содержаться в последних исполняемых файлах драйверов (для устройств Pixel они доступны на сайте Google Developers).
6. Почему теперь одни уязвимости описываются в этих бюллетенях, а другие – в бюллетенях по безопасности Pixel, а также в остальных бюллетенях партнеров?
Здесь описаны уязвимости, которые необходимо устранить для соответствия последнему уровню исправления системы безопасности Android. Решать дополнительные проблемы, перечисленные в бюллетенях по безопасности партнеров, для этого не требуется. Некоторые производители, например Google, Huawei, LG, Motorola, Nokia и Samsung, также публикуют информацию о проблемах, связанных с безопасностью выпускаемых ими устройств Android и чипсетов.
Версии
| Версия | Дата | Примечания |
|---|---|---|
| 1.0 | 5 октября 2020 г. | Бюллетень опубликован. |
| 1.1 | 6 октября 2020 г. | Добавлены ссылки на AOSP. |