Pubblicato il 20 agosto 2019 | Aggiornato il 27 gennaio 2021
Queste note sulla versione di sicurezza di Android contengono i dettagli delle vulnerabilità di sicurezza che interessano i dispositivi Android che sono risolte come parte di Android 10. I dispositivi Android 10 con un livello di patch di sicurezza di 01-09-2019 o successivo sono protetti contro questi problemi (Android 10, come rilasciato il AOSP, ha un livello di patch di sicurezza predefinito del 01-09-2019). Per informazioni su come controllare il livello di patch di sicurezza di un dispositivo, vedi Come controllare e aggiornare la versione di Android .
I partner Android vengono informati di tutti i problemi prima della pubblicazione. Le patch del codice sorgente per questi problemi verranno rilasciate nel repository Android Open Source Project (AOSP) come parte della versione Android 10.
La valutazione della gravità dei problemi in queste note di rilascio si basa sull'effetto che lo sfruttamento della vulnerabilità potrebbe avere su un dispositivo interessato, supponendo che le mitigazioni della piattaforma e del servizio siano disattivate per scopi di sviluppo o se bypassate correttamente.
Non abbiamo avuto segnalazioni di sfruttamento attivo da parte dei clienti o abuso di questi problemi appena segnalati. Fare riferimento alla sezione sulle attenuazioni di Android e Google Play Protect per i dettagli sulle protezioni della piattaforma di sicurezza Android e su Google Play Protect, che migliorano la sicurezza della piattaforma Android.
Annunci
- I problemi descritti in questo documento vengono affrontati come parte di Android 10. Queste informazioni sono fornite per riferimento e trasparenza.
- Vorremmo riconoscere e ringraziare la comunità di ricerca sulla sicurezza per il loro continuo contributo alla protezione dell'ecosistema Android.
Mitigazioni dei servizi Android e Google
Questo è un riepilogo delle attenuazioni fornite dalla piattaforma di sicurezza Android e dalle protezioni del servizio come Google Play Protect . Queste funzionalità riducono la probabilità che le vulnerabilità della sicurezza possano essere sfruttate con successo su Android.
- Lo sfruttamento per molti problemi su Android è reso più difficile dai miglioramenti nelle versioni più recenti della piattaforma Android. Incoraggiamo tutti gli utenti ad aggiornare all'ultima versione di Android, ove possibile.
- Il team di sicurezza di Android monitora attivamente gli abusi tramite Google Play Protect e avvisa gli utenti in merito alle applicazioni potenzialmente dannose . Google Play Protect è abilitato per impostazione predefinita sui dispositivi con Google Mobile Services ed è particolarmente importante per gli utenti che installano app al di fuori di Google Play.
Android 10: dettagli sulla vulnerabilità
Le sezioni seguenti forniscono dettagli per le vulnerabilità di sicurezza risolte come parte di Android 10. Le vulnerabilità sono raggruppate sotto il componente che interessano e includono dettagli come CVE, riferimenti associati, tipo di vulnerabilità e gravità .
Tempo di esecuzione Android
| CVE | Riferimenti | Tipo | Gravità |
|---|---|---|---|
| CVE-2019-9290 | A-113039724 | EoP | Moderare |
| CVE-2019-9429 | A-110035108 | EoP | Moderare |
Struttura
| CVE | Riferimenti | Tipo | Gravità |
|---|---|---|---|
| CVE-2019-9262 | A-111792351 | RCE | Moderare |
| CVE-2019-9256 | A-111921829 | RCE | Moderare |
| CVE-2019-9280 | A-119322269 | EoP | Moderare |
| CVE-2019-2216 | A-38390530 | EoP | Moderare |
| CVE-2019-2089 | A-116608833 | EoP | Moderare |
| CVE-2019-9288 | A-111363077 | EoP | Moderare |
| CVE-2019-9384 | A-120568007 | EoP | Moderare |
| CVE-2019-9269 | A-36899497 | EoP | Moderare |
| CVE-2019-9378 | A-124539196 | EoP | Moderare |
| CVE-2019-9380 | A-123700098 | EoP | Moderare |
| CVE-2019-9407 | A-112434609 | EoP | Moderare |
| CVE-2019-2088 | A-143895055 | ID | Moderare |
| CVE-2019-2058 | A-136089102 | ID | Moderare |
| CVE-2019-9351 | A-128599864 | ID | Moderare |
| CVE-2019-9281 | A-32748076 | ID | Moderare |
| CVE-2019-9377 | A-128599663 | ID | Moderare |
| CVE-2019-9292 | A-115384617 | ID | Moderare |
| CVE-2019-9424 | A-110941092 | ID | Moderare |
| CVE-2019-9399 | A-115635664 | ID | Moderare |
| CVE-2019-9421 | A-111215250 | ID | Moderare |
| CVE-2019-9323 | A-30770233 | ID | Moderare |
| CVE-2019-9438 | A-77821568 | ID | Moderare |
| CVE-2019-9373 | A-130173029 | DoS | Moderare |
| CVE-2019-9372 | A-132782448 | DoS | Moderare |
Biblioteca
| CVE | Riferimenti | Tipo | Gravità |
|---|---|---|---|
| CVE-2019-9423 | A-110986616 | EoP | Moderare |
| CVE-2019-9459 | A-79593569 | EoP | Moderare |
Quadro dei media
| CVE | Riferimenti | Tipo | Gravità |
|---|---|---|---|
| CVE-2019-9297 | A-112890242 | RCE | Moderare |
| CVE-2019-9298 | A-112892194 | RCE | Moderare |
| CVE-2019-9299 | A-112663886 | RCE | Moderare |
| CVE-2019-9300 | A-112661610 | RCE | Moderare |
| CVE-2019-9301 | A-112663384 | RCE | Moderare |
| CVE-2019-9302 | A-112661356 | RCE | Moderare |
| CVE-2019-9303 | A-112661057 | RCE | Moderare |
| CVE-2019-9304 | A-112662270 | RCE | Moderare |
| CVE-2019-9305 | A-112661835 | RCE | Moderare |
| CVE-2019-9306 | A-112661348 | RCE | Moderare |
| CVE-2019-9307 | A-112661893 | RCE | Moderare |
| CVE-2019-9308 | A-112661742 | RCE | Moderare |
| CVE-2019-9346 | A-128433933 | RCE | Moderare |
| CVE-2019-9357 | A-112662995 | RCE | Moderare |
| CVE-2019-9382 | A-120874654 | RCE | Moderare |
| CVE-2019-9405 | A-112890225 | RCE | Moderare |
| CVE-2019-9278 | A-112537774 | RCE | Moderare |
| CVE-2020-0086 | A-131859347 | EoP | Moderare |
| CVE-2019-9310 | A-112891546 | EoP | Moderare |
| CVE-2019-9232 | A-122675483 | ID | Moderare |
| CVE-2019-9247 | A-120426166 | ID | Moderare |
| CVE-2019-9282 | A-113211371 | ID | Moderare |
| CVE-2019-9293 | A-117661116 | ID | Moderare |
| CVE-2019-9294 | A-111764444 | ID | Moderare |
| CVE-2019-9313 | A-112005441 | ID | Moderare |
| CVE-2019-9314 | A-112329563 | ID | Moderare |
| CVE-2019-9315 | A-112326216 | ID | Moderare |
| CVE-2019-9316 | A-112052432 | ID | Moderare |
| CVE-2019-9317 | A-112052258 | ID | Moderare |
| CVE-2019-9318 | A-111764725 | ID | Moderare |
| CVE-2019-9319 | A-111762100 | ID | Moderare |
| CVE-2019-9320 | A-111761624 | ID | Moderare |
| CVE-2019-9321 | A-111208713 | ID | Moderare |
| CVE-2019-9322 | A-111128067 | ID | Moderare |
| CVE-2019-9325 | A-112001302 | ID | Moderare |
| CVE-2019-9334 | A-112859934 | ID | Moderare |
| CVE-2019-9335 | A-112328051 | ID | Moderare |
| CVE-2019-9336 | A-112326322 | ID | Moderare |
| CVE-2019-9337 | A-112204376 | ID | Moderare |
| CVE-2019-9338 | A-111762686 | ID | Moderare |
| CVE-2019-9347 | A-109891727 | ID | Moderare |
| CVE-2019-9359 | A-111407302 | ID | Moderare |
| CVE-2019-9361 | A-111762807 | ID | Moderare |
| CVE-2019-9362 | A-120426980 | ID | Moderare |
| CVE-2019-9364 | A-73364631 | ID | Moderare |
| CVE-2019-9366 | A-112052062 | ID | Moderare |
| CVE-2019-9370 | A-133880046 | ID | Moderare |
| CVE-2019-9406 | A-112552517 | ID | Moderare |
| CVE-2019-9408 | A-112380157 | ID | Moderare |
| CVE-2019-9409 | A-112272091 | ID | Moderare |
| CVE-2019-9410 | A-112204443 | ID | Moderare |
| CVE-2019-9411 | A-112204845 | ID | Moderare |
| CVE-2019-9412 | A-112006096 | ID | Moderare |
| CVE-2019-9415 | A-111805098 | ID | Moderare |
| CVE-2019-9416 | A-111804142 | ID | Moderare |
| CVE-2019-9433 | A-80479354 | ID | Moderare |
| CVE-2019-9252 | A-73339042 | ID | Moderare |
| CVE-2019-9268 | A-77474014 | DoS | Moderare |
| CVE-2020-0088 | A-124389881 | DoS | Moderare |
| CVE-2019-9283 | A-112663564 | DoS | Moderare |
| CVE-2019-9348 | A-128431761 | DoS | Moderare |
| CVE-2019-9349 | A-124330204 | DoS | Moderare |
| CVE-2019-9352 | A-124253062 | DoS | Moderare |
| CVE-2019-9371 | A-132783254 | DoS | Moderare |
| CVE-2019-9379 | A-124329638 | DoS | Moderare |
| CVE-2019-9418 | A-111450210 | DoS | Moderare |
| CVE-2019-9420 | A-111272481 | DoS | Moderare |
Sistema
| CVE | Riferimenti | Tipo | Gravità |
|---|---|---|---|
| CVE-2019-9475 | A-9496886 | ID | Alto |
| CVE-2019-9363 | A-123584306 | RCE | Moderare |
| CVE-2019-9365 | A-109838537 | RCE | Moderare |
| CVE-2018-9425 | A-73884967 | EoP | Moderare |
| CVE-2019-9463 | A-113584607 | EoP | Moderare |
| CVE-2019-9291 | A-112159179 | EoP | Moderare |
| CVE-2019-9386 | A-122361874 | EoP | Moderare |
| CVE-2019-9375 | A-129344244 | EoP | Moderare |
| CVE-2019-9238 | A-121267042 | EoP | Moderare |
| CVE-2019-9257 | A-113572342 | EoP | Moderare |
| CVE-2019-9258 | A-113655028 | EoP | Moderare |
| CVE-2019-9259 | A-113575306 | EoP | Moderare |
| CVE-2019-9263 | A-73136824 | EoP | Moderare |
| CVE-2019-9266 | A-119501435 | EoP | Moderare |
| CVE-2019-9295 | A-36885811 | EoP | Moderare |
| CVE-2019-9309 | A-117985575 | EoP | Moderare |
| CVE-2019-9350 | A-129562815 | EoP | Moderare |
| CVE-2019-9358 | A-120156401 | EoP | Moderare |
| CVE-2018-9489 | A-77286245 | ID | Moderare |
| CVE-2019-9473 | A-115363533 | ID | Moderare |
| CVE-2019-9474 | A-79996267 | ID | Moderare |
| CVE-2019-9440 | A-37637796 | ID | Moderare |
| CVE-2019-9277 | A-68016944 | ID | Moderare |
| CVE-2019-9233 | A-122529021 | ID | Moderare |
| CVE-2019-9234 | A-122465453 | ID | Moderare |
| CVE-2019-9235 | A-122323053 | ID | Moderare |
| CVE-2019-9236 | A-122322613 | ID | Moderare |
| CVE-2019-9237 | A-121325979 | ID | Moderare |
| CVE-2019-9239 | A-121263487 | ID | Moderare |
| CVE-2019-9240 | A-121150966 | ID | Moderare |
| CVE-2019-9241 | A-121036603 | ID | Moderare |
| CVE-2019-9242 | A-121035878 | ID | Moderare |
| CVE-2019-9243 | A-120905706 | ID | Moderare |
| CVE-2019-9244 | A-120865977 | ID | Moderare |
| CVE-2019-9246 | A-120428637 | ID | Moderare |
| CVE-2019-9249 | A-120255805 | ID | Moderare |
| CVE-2019-9250 | A-120276962 | ID | Moderare |
| CVE-2019-9251 | A-120274615 | ID | Moderare |
| CVE-2019-9253 | A-109769728 | ID | Moderare |
| CVE-2019-9260 | A-113495295 | ID | Moderare |
| CVE-2019-9265 | A-37994606 | ID | Moderare |
| CVE-2019-9272 | A-11596047 | ID | Moderare |
| CVE-2019-9284 | A-111850706 | ID | Moderare |
| CVE-2019-9287 | A-78287084 | ID | Moderare |
| CVE-2019-9289 | A-79883824 | ID | Moderare |
| CVE-2018-9581 | A-111698366 | ID | Moderare |
| CVE-2019-9296 | A-112162089 | ID | Moderare |
| CVE-2019-9312 | A-78288018 | ID | Moderare |
| CVE-2019-9326 | A-111215173 | ID | Moderare |
| CVE-2019-9328 | A-111895000 | ID | Moderare |
| CVE-2019-9329 | A-112917952 | ID | Moderare |
| CVE-2019-9332 | A-78286500 | ID | Moderare |
| CVE-2019-9333 | A-109753657 | ID | Moderare |
| CVE-2019-9344 | A-120845341 | ID | Moderare |
| CVE-2019-9353 | A-123024201 | ID | Moderare |
| CVE-2019-9354 | A-118148142 | ID | Moderare |
| CVE-2019-9355 | A-115903122 | ID | Moderare |
| CVE-2019-9356 | A-111699773 | ID | Moderare |
| CVE-2019-9360 | A-120610663 | ID | Moderare |
| CVE-2019-9368 | A-79883568 | ID | Moderare |
| CVE-2019-9369 | A-79995407 | ID | Moderare |
| CVE-2019-9381 | A-122677612 | ID | Moderare |
| CVE-2019-9383 | A-120843827 | ID | Moderare |
| CVE-2019-9387 | A-117569833 | ID | Moderare |
| CVE-2019-9388 | A-117567437 | ID | Moderare |
| CVE-2019-9403 | A-113512324 | ID | Moderare |
| CVE-2019-9414 | A-111893041 | ID | Moderare |
| CVE-2019-9427 | A-110166350 | ID | Moderare |
| CVE-2019-9431 | A-109755179 | ID | Moderare |
| CVE-2019-9432 | A-80546108 | ID | Moderare |
| CVE-2019-9434 | A-80432895 | ID | Moderare |
| CVE-2019-9435 | A-80146682 | ID | Moderare |
| CVE-2019-9330 | A-111214739 | ID | Moderare |
| CVE-2019-9331 | A-112272279 | ID | Moderare |
| CVE-2019-9341 | A-111214770 | ID | Moderare |
| CVE-2019-9342 | A-111214470 | ID | Moderare |
| CVE-2019-9343 | A-112050983 | ID | Moderare |
| CVE-2019-9367 | A-112106425 | ID | Moderare |
| CVE-2019-9413 | A-111935831 | ID | Moderare |
| CVE-2019-9417 | A-111450079 | ID | Moderare |
| CVE-2019-9419 | A-111407544 | ID | Moderare |
| CVE-2019-9422 | A-111214766 | ID | Moderare |
| CVE-2020-0236 | A-79703353 | ID | Moderare |
| CVE-2019-9279 | A-110476382 | DoS | Moderare |
| CVE-2019-9285 | A-111215315 | DoS | Moderare |
| CVE-2019-9286 | A-111213909 | DoS | Moderare |
| CVE-2019-9311 | A-79431031 | DoS | Moderare |
| CVE-2019-9327 | A-112050583 | DoS | Moderare |
| CVE-2019-9462 | A-91544774 | DoS | Moderare |
| CVE-2019-9389 | A-117567058 | DoS | Moderare |
| CVE-2019-9390 | A-117551475 | DoS | Moderare |
| CVE-2019-9393 | A-116357965 | DoS | Moderare |
| CVE-2019-9394 | A-116351796 | DoS | Moderare |
| CVE-2019-9395 | A-116267405 | DoS | Moderare |
| CVE-2019-9396 | A-115747155 | DoS | Moderare |
| CVE-2019-9397 | A-115747410 | DoS | Moderare |
| CVE-2019-9398 | A-115745406 | DoS | Moderare |
| CVE-2019-9400 | A-115509589 | DoS | Moderare |
| CVE-2019-9401 | A-115375248 | DoS | Moderare |
| CVE-2019-9402 | A-115372550 | DoS | Moderare |
| CVE-2019-9404 | A-112923309 | DoS | Moderare |
| CVE-2019-9425 | A-110846194 | DoS | Moderare |
| CVE-2019-9430 | A-109838296 | DoS | Moderare |
Libxaac
La libreria Android 9 libxaac è stata contrassegnata come sperimentale e rimossa dalle build Android di produzione nell'ambito del Bollettino sulla sicurezza Android di novembre 2018 . Vorremmo ringraziare i ricercatori per le loro scoperte.
I problemi identificati includono i seguenti ID CVE: CVE-2019-2055, CVE-2019-2059, CVE-2019-2060, CVE-2019-2061, CVE-2019-2062, CVE-2019-2063, CVE-2019-2064 , CVE-2019-2065, CVE-2019-2066, CVE-2019-2067, CVE-2019-2068, CVE-2019-2069, CVE-2019-2070, CVE-2019-2071, CVE-2019-2072, CVE -2019-2073, CVE-2019-2074, CVE-2019-2075, CVE-2019-2076, CVE-2019-2077, CVE-2019-2078, CVE-2019-2079, CVE-2019-2080, CVE-2019 -2081, CVE-2019-2082, CVE-2019-2083, CVE-2019-2084, CVE-2019-2085, CVE-2019-2086, CVE-2019-2087, CVE-2019-2138, CVE-2019-2139 , CVE-2019-2140, CVE-2019-2141, CVE-2019-2142, CVE-2019-2143, CVE-2019-2144, CVE-2019-2145, CVE-2019-2146, CVE-2019-2147, CVE -2019-2148, CVE-2019-2149, CVE-2019-2150, CVE-2019-2151, CVE-2019-2152, CVE-2019-2153, CVE-2019-2154, CVE-2019-2155, CVE-2019 -2156, CVE-2019-2157, CVE-2019-2158, CVE-2019-2159, CVE-2019-2160, CVE-2019-2161, CVE-2019-2162, CVE-2019-2163, CVE-2019-2164 , CVE-2019-2165, CVE-2019-2166, CVE-2019-2167, CVE-2019-2168, CVE-2019-2169, CVE-2019-2170, CV E-2019-2171, CVE-2019-2172, CVE-2019-9261, CVE-2019-9264, CVE-2019-9385 e CVE-2019-9391.
Domande e risposte comuni
Questa sezione risponde alle domande più comuni che possono verificarsi dopo la lettura di questo bollettino.
1. Come faccio a determinare se il mio dispositivo è aggiornato per risolvere questi problemi?
Per informazioni su come controllare il livello di patch di sicurezza di un dispositivo, consulta Controllare e aggiornare la versione di Android .
Android 10, come rilasciato su AOSP, ha un livello di patch di sicurezza predefinito del 01-09-2019. I dispositivi Android che eseguono Android 10 e con un livello di patch di sicurezza 01-09-2019 o successivo risolvono tutti i problemi contenuti in queste note sulla versione di sicurezza.
2. Cosa significano le voci nella colonna Tipo ?
Le voci nella colonna Tipo della tabella dei dettagli della vulnerabilità fanno riferimento alla classificazione della vulnerabilità della sicurezza.
| Abbreviazione | Definizione |
|---|---|
| RCE | Esecuzione di codice a distanza |
| EoP | Elevazione del privilegio |
| ID | Rivelazione di un 'informazione |
| DoS | Negazione del servizio |
| N / A | Classificazione non disponibile |
3. Cosa significano le voci nella colonna Riferimenti ?
Le voci nella colonna Riferimenti della tabella dei dettagli della vulnerabilità possono contenere un prefisso che identifica l'organizzazione a cui appartiene il valore di riferimento.
| Prefisso | Riferimento |
|---|---|
| UN- | ID bug Android |
Versioni
| Versione | Data | Appunti |
|---|---|---|
| 1.0 | 20 agosto 2019 | Note sulla versione di sicurezza pubblicate. |
| 1.1 | 21 agosto 2019 | Piccole modifiche alle tabelle delle vulnerabilità |
| 1.2 | 17 settembre 2019 | Riconoscimenti ed elenco dei problemi aggiornati |
| 1.3 | 21 novembre 2019 | Elenco dei problemi aggiornato |
| 1.4 | 12 febbraio 2020 | Elenco dei problemi aggiornato |
| 1.5 | 26 febbraio 2020 | Elenco dei problemi aggiornato |
| 1.6 | 11 maggio 2020 | Elenco dei problemi aggiornato |
| 1.7 | 11 giugno 2020 | Elenco dei problemi aggiornato |
| 1.8 | 27 gennaio 2021 | Elenco dei problemi aggiornato |