Opublikowano 5 października 2020 r. | Zaktualizowano 6 października 2020 r.
Biuletyn o bezpieczeństwie Androida zawiera szczegółowe informacje o lukach w zabezpieczeniach, które wpływają na urządzenia z Androidem. Poziomy poprawek zabezpieczeń z 2020-10-05 lub nowsze rozwiązują wszystkie te problemy. Aby dowiedzieć się, jak sprawdzić poziom poprawek zabezpieczeń urządzenia, przeczytaj artykuł Sprawdzanie i aktualizowanie wersji Androida.
Partnerzy Androida są powiadamiani o wszystkich problemach co najmniej miesiąc przed publikacją. Poprawki do kodu źródłowego dotyczące tych problemów zostały opublikowane w repozytorium Projektu Android Open Source (AOSP) i powiązane z tym biuletynem. To powiadomienie zawiera też linki do poprawek spoza AOSP.
Najpoważniejszym z tych problemów jest luka w zabezpieczeniach w komponencie System, która umożliwia atakującemu zdalnemu uzyskanie dostępu do dodatkowych uprawnień za pomocą specjalnie spreparowanej transmisji. Ocena ważności jest oparta na wpływie, jaki wykorzystanie luki w zabezpieczeniach może mieć na urządzeniu, przy założeniu, że zabezpieczenia platformy i usługi są wyłączone na potrzeby programowania lub zostały pomyślnie omijane.
Więcej informacji o środkach ochrony platformy Androida i Google Play Protect, które zwiększają bezpieczeństwo platformy Androida, znajdziesz w sekcji Środki zaradcze dotyczące Androida i Google Play Protect.
Środki zaradcze dotyczące usług Google i Androida
Oto podsumowanie działań zapobiegawczych oferowanych przez platformę zabezpieczeń Androida oraz usługi zabezpieczające, takie jak Google Play Protect. Te funkcje zmniejszają prawdopodobieństwo, że luki w zabezpieczeniach mogą zostać wykorzystane na Androidzie.
- Wykorzystanie wielu luk w Androidzie jest utrudnione dzięki ulepszeniom w nowszych wersjach platformy. Zachęcamy wszystkich użytkowników do zaktualizowania Androida do najnowszej wersji, o ile to możliwe.
- Zespół ds. bezpieczeństwa Androida aktywnie monitoruje przypadki nadużyć za pomocą Google Play Protect i ostrzega użytkowników o potencjalnie szkodliwych aplikacjach. Google Play Protect jest domyślnie włączona na urządzeniach z Usługami mobilnymi Google. Jest szczególnie ważna dla użytkowników, którzy instalują aplikacje spoza Google Play.
Szczegóły dotyczące luki w zabezpieczeniach na poziomie poprawki zabezpieczeń z 2020-10-01
W sekcjach poniżej znajdziesz szczegółowe informacje o każdej z luk w zabezpieczeniach, które dotyczą poziomu poprawek z 2020-10-01. Luki w zabezpieczeniach są pogrupowane według komponentu, którego dotyczą. Problemy są opisane w tabelach poniżej. Zawierają one identyfikator CVE, powiązane odniesienia, typ luki, powagę oraz zaktualizowane wersje AOSP (w odpowiednich przypadkach). W razie możliwości łączymy publiczną zmianę, która rozwiązała problem, z identyfikatorem błędu, np. z listą zmian w AOSP. Jeśli wiele zmian dotyczy jednego błędu, dodatkowe odniesienia są połączone z numerami po identyfikatorze błędu. Urządzenia z Androidem 10 lub nowszym mogą otrzymywać aktualizacje zabezpieczeń oraz aktualizacje systemowe Google Play.
Środowisko wykonawcze Androida
Luka opisana w tej sekcji może umożliwić lokalnemu atakującemu uruchomienie dowolnego kodu w kontekście aplikacji korzystającej z biblioteki.
| CVE | Pliki referencyjne | Typ | Poziom | Zaktualizowane wersje AOSP |
|---|---|---|---|---|
| CVE-2020-0408 | A-156999009 | EoP | Wysoki | 8.0, 8.1, 9, 10, 11 |
Platforma
Najpoważniejsza luka w zabezpieczeniach w tej sekcji może umożliwić lokalnej złośliwej aplikacji obejście wymagań dotyczących interakcji z użytkownikiem w celu uzyskania dostępu do dodatkowych uprawnień.
| CVE | Pliki referencyjne | Typ | Poziom | Zaktualizowane wersje AOSP |
|---|---|---|---|---|
| CVE-2020-0420 |
A-162383705 | EoP | Wysoki | 11 |
| CVE-2020-0421 | A-161894517 | EoP | Wysoki | 8.0, 8.1, 9, 10, 11 |
| CVE-2020-0246 |
A-159062405 | ID | Wysoki | 10, 11 |
| CVE-2020-0412 |
A-160390416 | ID | Wysoki | 8.0, 8.1, 9, 10, 11 |
| CVE-2020-0419 |
A-142125338 | ID | Wysoki | 8.1, 9, 10, 11 |
Platforma Media
Najpoważniejsza luka w zabezpieczeniach w tej sekcji może prowadzić do zdalnego ujawnienia informacji bez konieczności posiadania dodatkowych uprawnień do wykonywania.
| CVE | Pliki referencyjne | Typ | Poziom | Zaktualizowane wersje AOSP |
|---|---|---|---|---|
| CVE-2020-0213 | A-143464314 | ID | Wysoki | 10, 11 |
| CVE-2020-0411 | A-142641801 | ID | Wysoki | 10, 11 |
| CVE-2020-0414 |
A-157708122 | ID | Wysoki | 10, 11 |
| CVE-2019-2194 |
A-137284057 | EoP | Umiarkowana | 9 |
System
Najpoważniejsza luka w zabezpieczeniach w tej sekcji może umożliwić atakującemu zdalnie uzyskanie dostępu do dodatkowych uprawnień za pomocą specjalnie spreparowanej transmisji.
| CVE | Pliki referencyjne | Typ | Poziom | Zaktualizowane wersje AOSP |
|---|---|---|---|---|
| CVE-2020-0215 |
A-140417248 [2] | EoP | Wysoki | 8.0, 8.1, 9, 10, 11 |
| CVE-2020-0416 |
A-155288585 [2] | EoP | Wysoki | 8.0, 8.1, 9, 10, 11 |
| CVE-2020-0377 |
A-158833854 | ID | Wysoki | 8.0, 8.1, 9, 10, 11 |
| CVE-2020-0378 |
A-157748906 | ID | Wysoki | 9, 10, 11 |
| CVE-2020-0398 |
A-154323381 | ID | Wysoki | 10, 11 |
| CVE-2020-0400 |
A-153356561 | ID | Wysoki | 10, 11 |
| CVE-2020-0410 |
A-156021269 | ID | Wysoki | 8.0, 8.1, 9, 10, 11 |
| CVE-2020-0413 |
A-158778659 | ID | Wysoki | 8.0, 8.1, 9, 10, 11 |
| CVE-2020-0415 |
A-156020795 | ID | Wysoki | 8.0, 8.1, 9, 10, 11 |
| CVE-2020-0422 |
A-161718556 | ID | Wysoki | 8.0, 8.1, 9, 10, 11 |
Aktualizacje systemowe Google Play
Komponenty projektu Mainline obejmują te problemy:
| Komponent | CVE |
|---|---|
| Kodeki multimedialne | CVE-2020-0213 |
| Komponenty Media Framework | CVE-2020-0411 |
Szczegóły dotyczące luki w zabezpieczeniach na poziomie poprawki zabezpieczeń z 2020-10-05
W sekcjach poniżej znajdziesz szczegółowe informacje o każdej z luk w zabezpieczeniach, które dotyczą poziomu poprawek z 5 października 2020 r. Luki w zabezpieczeniach są pogrupowane według komponentu, którego dotyczą. Problemy są opisane w tabelach poniżej. Zawierają one identyfikator CVE, powiązane odniesienia, typ luki, powagę oraz zaktualizowane wersje AOSP (w odpowiednich przypadkach). W razie możliwości łączymy publiczną zmianę, która rozwiązała problem, z identyfikatorem błędu, np. z listą zmian w AOSP. Jeśli wiele zmian dotyczy jednego błędu, dodatkowe odniesienia są połączone z numerami po identyfikatorze błędu.
Bąbelki
Użytkownik lokalny przeprowadzający atak może użyć pliku specjalnie spreparowanego w celu uruchomienia dowolnego kodu w kontekście procesu uprzywilejowanego.
| CVE | Pliki referencyjne | Typ | Poziom | Komponent |
|---|---|---|---|---|
| CVE-2020-0423 | A-161151868* | EoP | Wysoki | Segregator |
Komponenty MediaTek
Te luki w zabezpieczeniach dotyczą komponentów MediaTek. Więcej informacji można uzyskać bezpośrednio od firmy MediaTek. Ocena powagi tych problemów jest dostarczana bezpośrednio przez MediaTek.
| CVE | Pliki referencyjne | Poziom | Komponent |
|---|---|---|---|
| CVE-2020-0283 | A-163008257
M-ALPS05229282* |
Wysoki | KeyInstall |
| CVE-2020-0339 | A-162980705
M-ALPS05194445* |
Wysoki | Widevine |
| CVE-2020-0367 |
A-162980455
M-ALPS05194445* |
Wysoki | Widevine |
| CVE-2020-0371 | A-163008256
M-ALPS05229226* |
Wysoki | KeyInstall |
| CVE-2020-0376 |
A-163003156
M-ALPS05194415* |
Wysoki | ISP |
Komponenty Qualcomm
Te luki w zabezpieczeniach dotyczą komponentów Qualcomm i są opisane w szczegółach w odpowiednim biuletynie lub alertzie dotyczącym zabezpieczeń Qualcomm. Ocena stopnia ważności tych problemów jest dokonywana bezpośrednio przez firmę Qualcomm.
| CVE | Pliki referencyjne | Poziom | Komponent |
|---|---|---|---|
| CVE-2020-11125 | A-160605820
QC-CR#2617422 QC-CR#2673763 |
Wysoki | Bąbelki |
| CVE-2020-11162 | A-160605604
QC-CR#2677376 |
Wysoki | Bąbelki |
| CVE-2020-11173 | A-160605709
QC-CR#2646001 |
Wysoki | Bąbelki |
| CVE-2020-11174 | A-160605900
QC-CR#2636449 |
Wysoki | Bąbelki |
Komponenty Qualcomm o zamkniętym kodzie źródłowym
Te luki w zabezpieczeniach dotyczą komponentów Qualcomm o zamkniętym kodzie źródłowym i są opisane bardziej szczegółowo w odpowiednim biuletynie lub ostrzeżeniu dotyczącym zabezpieczeń Qualcomm. Ocena stopnia ważności tych problemów jest dokonywana bezpośrednio przez firmę Qualcomm.
| CVE | Pliki referencyjne | Poziom | Komponent |
|---|---|---|---|
| CVE-2020-3654 | A-153346045* | Krytyczny | Komponent zamkniętego źródła |
| CVE-2020-3657 | A-153344684* | Krytyczny | Komponent zamkniętego źródła |
| CVE-2020-3673 | A-153345154* | Krytyczny | Komponent zamkniętego źródła |
| CVE-2020-3692 | A-153345116* | Krytyczny | Komponent zamkniętego źródła |
| CVE-2020-11154 |
A-160605708* | Krytyczny | Komponent zamkniętego źródła |
| CVE-2020-11155 | A-160605404* | Krytyczny | Komponent zamkniętego źródła |
| CVE-2020-3638 | A-153346253* | Wysoki | Komponent zamkniętego źródła |
| CVE-2020-3670 | A-153345118* | Wysoki | Komponent zamkniętego źródła |
| CVE-2020-3678 | A-153345398* | Wysoki | Komponent zamkniętego źródła |
| CVE-2020-3684 | A-153346047* | Wysoki | Komponent zamkniętego źródła |
| CVE-2020-3690 | A-153344723* | Wysoki | Komponent zamkniętego źródła |
| CVE-2020-3703 | A-160605749* | Wysoki | Komponent zamkniętego źródła |
| CVE-2020-3704 | A-160605508* | Wysoki | Komponent zamkniętego źródła |
| CVE-2020-11141 | A-160606016* | Wysoki | Komponent zamkniętego źródła |
| CVE-2020-11156 | A-160605294* | Wysoki | Komponent zamkniętego źródła |
| CVE-2020-11157 | A-160605864* | Wysoki | Komponent zamkniętego źródła |
| CVE-2020-11164 | A-160605595* | Wysoki | Komponent zamkniętego źródła |
| CVE-2020-11169 | A-160605405* | Wysoki | Komponent zamkniętego źródła |
Najczęstsze pytania i odpowiedzi
W tej sekcji znajdziesz odpowiedzi na najczęstsze pytania, które mogą pojawić się po przeczytaniu tego biuletynu.
1. Jak sprawdzić, czy moje urządzenie jest zaktualizowane i czy zawiera poprawki dotyczące tych problemów?
Aby dowiedzieć się, jak sprawdzić poziom poprawek zabezpieczeń urządzenia, przeczytaj artykuł Sprawdzanie i aktualizowanie wersji Androida.
- Poziomy aktualizacji zabezpieczeń z 2020-10-01 lub nowsze rozwiązują wszystkie problemy związane z poziomem aktualizacji zabezpieczeń z 2020-10-01.
- Poziomy aktualizacji zabezpieczeń z 2020-10-05 lub nowsze rozwiązują wszystkie problemy związane z poziomem aktualizacji zabezpieczeń z 2020-10-05 i wszystkimi poprzednimi poziomami.
Producenci urządzeń, którzy udostępniają te aktualizacje, powinni ustawić poziom ciągu poprawki na:
- [ro.build.version.security_patch]:[2020-10-01]
- [ro.build.version.security_patch]:[2020-10-05]
W przypadku niektórych urządzeń z Androidem 10 lub nowszym aktualizacja systemu Google Play będzie miała ciąg znaków daty odpowiadający poziomowi poprawki zabezpieczeń z 2020-10-01. Więcej informacji o instalowaniu aktualizacji zabezpieczeń znajdziesz w tym artykule.
2. Dlaczego w tym komunikacie są 2 poziomy aktualizacji zabezpieczeń?
W tym komunikacie znajdują się 2 poziomy poprawek zabezpieczeń, dzięki którym partnerzy Androida mają możliwość szybszego naprawiania podzbioru podobnych luk we wszystkich urządzeniach z Androidem. Partnerów Androida zachęcamy do rozwiązania wszystkich problemów opisanych w tym biuletynie i do stosowania najnowszej poprawki zabezpieczeń.
- Urządzenia korzystające z poziomu poprawki zabezpieczeń z 2020-10-01 muszą zawierać wszystkie problemy związane z tym poziomem poprawki zabezpieczeń, a także poprawki wszystkich problemów zgłoszonych w poprzednich biuletynach bezpieczeństwa.
- Urządzenia, które korzystają z poziomu poprawki zabezpieczeń 2020-10-05 lub nowszego, muszą zawierać wszystkie poprawki z tych (i wcześniejszych) biuletynów bezpieczeństwa.
Zachęcamy partnerów do łączenia poprawek dotyczących wszystkich problemów w jednym pakiecie.
3. Co oznaczają wpisy w kolumnie Typ?
Wpisy w kolumnie Typ w tabeli szczegółów podatności odnoszą się do klasyfikacji podatności na zagrożenia.
| Skrót | Definicja |
|---|---|
| RCE | Zdalne wykonywanie kodu |
| EoP | Podniesienie uprawnień |
| ID | Ujawnianie informacji |
| DoS | Atak typu DoS |
| Nie dotyczy | Klasyfikacja niedostępna |
4. Co oznaczają wpisy w kolumnie Odwołania?
Wpisy w kolumnie Odwołania w tabeli szczegółów podatności mogą zawierać prefiks identyfikujący organizację, do której należy wartość odwołania.
| Prefiks | Źródła wiedzy |
|---|---|
| A- | Identyfikator błędu na Androidzie |
| QC- | Numer referencyjny Qualcomm |
| M- | Numer referencyjny MediaTek |
| N- | Numer referencyjny NVIDIA |
| B- | Numer referencyjny Broadcom |
5. Co oznacza znak * obok identyfikatora błędu Androida w kolumnie Odniesienia?
Problemy, które nie są dostępne publicznie, mają * obok odpowiedniego identyfikatora referencyjnego. Aktualizacja dotycząca tego problemu może być zawarta w najnowszych binarnych sterownikach (w przypadku urządzeń Pixel są one dostępne na stronie Google Developer).Obok odpowiedniego identyfikatora referencyjnego problemów, które nie są dostępne publicznie, znajduje się znak *. Aktualizacja dotycząca tego problemu może być zawarta w najnowszych binarnych sterownikach (w przypadku urządzeń Pixel są one dostępne na stronie Google dla deweloperów).
6. Dlaczego luki w zabezpieczeniach są podzielone między ten biuletyn a biuletyny o zabezpieczeniach dotyczące urządzeń i partnerów, np. biuletyn o Pixelu?
Aby zadeklarować najnowszy poziom poprawek zabezpieczeń na urządzeniach z Androidem, należy uwzględnić luki w zabezpieczeniach opisane w tym biuletynie. Dodatkowe luki w zabezpieczeniach, które są udokumentowane w biuletynach bezpieczeństwa dotyczących urządzenia lub partnera, nie są wymagane do zadeklarowania poziomu aktualizacji zabezpieczeń. Producenci urządzeń i układów scalonych z Androidem mogą też publikować informacje o lukach w zabezpieczeniach w swoich produktach, takich jak Google, Huawei, LGE, Motorola, Nokia i Samsung.
Wersje
| Wersja | Data | Uwagi |
|---|---|---|
| 1,0 | 5 października 2020 r. | Biuletyn opublikowany |
| 1,1 | 6 października 2020 r. | Wprowadziliśmy zmiany w powiadomieniu, aby zawierało linki do AOSP |