یادداشت های امنیتی اندروید 10

منتشر شده در 20 آگوست 2019 | به روز شده در 27 ژانویه 2021

این یادداشت‌های انتشار امنیتی Android حاوی جزئیات آسیب‌پذیری‌های امنیتی است که بر دستگاه‌های Android تأثیر می‌گذارد که به عنوان بخشی از Android 10 مورد بررسی قرار می‌گیرند. دستگاه‌های Android 10 با سطح وصله امنیتی 2019-09-01 یا بالاتر در برابر این مشکلات محافظت می‌شوند (Android 10، همانطور که در تاریخ منتشر شده است. AOSP، دارای یک سطح وصله امنیتی پیش‌فرض 01-09-2019 است. برای یادگیری نحوه بررسی سطح وصله امنیتی دستگاه، به نحوه بررسی و به‌روزرسانی نسخه Android خود مراجعه کنید.

شرکای Android از همه مشکلات قبل از انتشار مطلع می شوند. وصله کد منبع برای این مشکلات به عنوان بخشی از نسخه اندروید 10 در مخزن پروژه منبع باز Android (AOSP) منتشر می شود.

ارزیابی شدت مشکلات در این یادداشت‌های انتشار بر اساس تأثیری است که احتمالاً بهره‌برداری از آسیب‌پذیری ممکن است بر دستگاه آسیب‌دیده داشته باشد، با این فرض که پلت‌فرم و کاهش خدمات برای اهداف توسعه خاموش شده‌اند یا در صورت دور زدن موفقیت‌آمیز انجام شوند.

ما هیچ گزارشی مبنی بر بهره برداری یا سوء استفاده فعال مشتری از این مشکلات گزارش شده جدید نداشته ایم. برای جزئیات بیشتر در مورد حفاظت های پلتفرم امنیتی اندروید و Google Play Protect که امنیت پلتفرم اندروید را بهبود می بخشد، به بخش کاهش دهنده های Android و Google Play Protect مراجعه کنید.

اطلاعیه ها

  • مسائل شرح داده شده در این سند به عنوان بخشی از Android 10 پرداخته شده است. این اطلاعات برای مرجع و شفافیت ارائه شده است.
  • مایلیم از جامعه تحقیقاتی امنیتی برای کمک های مستمرشان در جهت ایمن سازی اکوسیستم اندروید قدردانی و تشکر کنیم.

کاهش خدمات اندروید و گوگل

این خلاصه‌ای از کاهش‌های ارائه شده توسط پلتفرم امنیتی Android و محافظت‌های خدماتی مانند Google Play Protect است. این قابلیت ها احتمال سوء استفاده موفقیت آمیز از آسیب پذیری های امنیتی در اندروید را کاهش می دهد.

  • بهره برداری از بسیاری از مسائل در اندروید با پیشرفت در نسخه های جدیدتر پلتفرم اندروید دشوارتر شده است. ما همه کاربران را تشویق می کنیم تا در صورت امکان به آخرین نسخه اندروید بروزرسانی کنند.
  • تیم امنیتی Android به طور فعال از طریق Google Play Protect برای سوء استفاده نظارت می کند و به کاربران در مورد برنامه های بالقوه مضر هشدار می دهد. Google Play Protect به طور پیش‌فرض در دستگاه‌های دارای سرویس‌های Google Mobile فعال است و به ویژه برای کاربرانی که برنامه‌هایی را از خارج از Google Play نصب می‌کنند، مهم است.

Android 10—جزئیات آسیب پذیری

بخش‌های زیر جزئیات آسیب‌پذیری‌های امنیتی رفع‌شده به‌عنوان بخشی از Android 10 را ارائه می‌کنند. آسیب‌پذیری‌ها تحت مؤلفه‌ای که بر آن تأثیر می‌گذارند گروه‌بندی می‌شوند و شامل جزئیاتی مانند CVE، مراجع مرتبط، نوع آسیب‌پذیری و شدت می‌شوند.

زمان اجرا اندروید

CVE منابع تایپ کنید شدت
CVE-2019-9290 الف-113039724 EoP در حد متوسط
CVE-2019-9429 الف-110035108 EoP در حد متوسط

چارچوب

CVE منابع تایپ کنید شدت
CVE-2019-9262 الف-111792351 RCE در حد متوسط
CVE-2019-9256 الف-111921829 RCE در حد متوسط
CVE-2019-9280 الف-119322269 EoP در حد متوسط
CVE-2019-2216 A-38390530 EoP در حد متوسط
CVE-2019-2089 الف-116608833 EoP در حد متوسط
CVE-2019-9288 الف-111363077 EoP در حد متوسط
CVE-2019-9384 الف-120568007 EoP در حد متوسط
CVE-2019-9269 الف-36899497 EoP در حد متوسط
CVE-2019-9378 الف-124539196 EoP در حد متوسط
CVE-2019-9380 الف-123700098 EoP در حد متوسط
CVE-2019-9407 الف-112434609 EoP در حد متوسط
CVE-2019-2088 الف-143895055 شناسه در حد متوسط
CVE-2019-2058 الف-136089102 شناسه در حد متوسط
CVE-2019-9351 الف-128599864 شناسه در حد متوسط
CVE-2019-9281 الف-32748076 شناسه در حد متوسط
CVE-2019-9377 الف-128599663 شناسه در حد متوسط
CVE-2019-9292 الف-115384617 شناسه در حد متوسط
CVE-2019-9424 الف-110941092 شناسه در حد متوسط
CVE-2019-9399 الف-115635664 شناسه در حد متوسط
CVE-2019-9421 الف-111215250 شناسه در حد متوسط
CVE-2019-9323 A-30770233 شناسه در حد متوسط
CVE-2019-9438 الف-77821568 شناسه در حد متوسط
CVE-2019-9373 الف-130173029 DoS در حد متوسط
CVE-2019-9372 الف-132782448 DoS در حد متوسط

کتابخانه

CVE منابع تایپ کنید شدت
CVE-2019-9423 الف-110986616 EoP در حد متوسط
CVE-2019-9459 A-79593569 EoP در حد متوسط

چارچوب رسانه ای

CVE منابع تایپ کنید شدت
CVE-2019-9297 الف-112890242 RCE در حد متوسط
CVE-2019-9298 الف-112892194 RCE در حد متوسط
CVE-2019-9299 الف-112663886 RCE در حد متوسط
CVE-2019-9300 الف-112661610 RCE در حد متوسط
CVE-2019-9301 الف-112663384 RCE در حد متوسط
CVE-2019-9302 الف-112661356 RCE در حد متوسط
CVE-2019-9303 الف-112661057 RCE در حد متوسط
CVE-2019-9304 الف-112662270 RCE در حد متوسط
CVE-2019-9305 الف-112661835 RCE در حد متوسط
CVE-2019-9306 الف-112661348 RCE در حد متوسط
CVE-2019-9307 الف-112661893 RCE در حد متوسط
CVE-2019-9308 الف-112661742 RCE در حد متوسط
CVE-2019-9346 الف-128433933 RCE در حد متوسط
CVE-2019-9357 الف-112662995 RCE در حد متوسط
CVE-2019-9382 الف-120874654 RCE در حد متوسط
CVE-2019-9405 الف-112890225 RCE در حد متوسط
CVE-2019-9278 الف-112537774 RCE در حد متوسط
CVE-2020-0086 الف-131859347 EoP در حد متوسط
CVE-2019-9310 الف-112891546 EoP در حد متوسط
CVE-2019-9232 الف-122675483 شناسه در حد متوسط
CVE-2019-9247 الف-120426166 شناسه در حد متوسط
CVE-2019-9282 الف-113211371 شناسه در حد متوسط
CVE-2019-9293 الف-117661116 شناسه در حد متوسط
CVE-2019-9294 الف-111764444 شناسه در حد متوسط
CVE-2019-9313 الف-112005441 شناسه در حد متوسط
CVE-2019-9314 الف-112329563 شناسه در حد متوسط
CVE-2019-9315 الف-112326216 شناسه در حد متوسط
CVE-2019-9316 الف-112052432 شناسه در حد متوسط
CVE-2019-9317 الف-112052258 شناسه در حد متوسط
CVE-2019-9318 الف-111764725 شناسه در حد متوسط
CVE-2019-9319 الف-111762100 شناسه در حد متوسط
CVE-2019-9320 الف-111761624 شناسه در حد متوسط
CVE-2019-9321 الف-111208713 شناسه در حد متوسط
CVE-2019-9322 الف-111128067 شناسه در حد متوسط
CVE-2019-9325 الف-112001302 شناسه در حد متوسط
CVE-2019-9334 الف-112859934 شناسه در حد متوسط
CVE-2019-9335 الف-112328051 شناسه در حد متوسط
CVE-2019-9336 الف-112326322 شناسه در حد متوسط
CVE-2019-9337 الف-112204376 شناسه در حد متوسط
CVE-2019-9338 الف-111762686 شناسه در حد متوسط
CVE-2019-9347 الف-109891727 شناسه در حد متوسط
CVE-2019-9359 الف-111407302 شناسه در حد متوسط
CVE-2019-9361 الف-111762807 شناسه در حد متوسط
CVE-2019-9362 الف-120426980 شناسه در حد متوسط
CVE-2019-9364 الف-73364631 شناسه در حد متوسط
CVE-2019-9366 الف-112052062 شناسه در حد متوسط
CVE-2019-9370 الف-133880046 شناسه در حد متوسط
CVE-2019-9406 الف-112552517 شناسه در حد متوسط
CVE-2019-9408 الف-112380157 شناسه در حد متوسط
CVE-2019-9409 الف-112272091 شناسه در حد متوسط
CVE-2019-9410 الف-112204443 شناسه در حد متوسط
CVE-2019-9411 الف-112204845 شناسه در حد متوسط
CVE-2019-9412 الف-112006096 شناسه در حد متوسط
CVE-2019-9415 الف-111805098 شناسه در حد متوسط
CVE-2019-9416 الف-111804142 شناسه در حد متوسط
CVE-2019-9433 A-80479354 شناسه در حد متوسط
CVE-2019-9252 A-73339042 شناسه در حد متوسط
CVE-2019-9268 A-77474014 DoS در حد متوسط
CVE-2020-0088 الف-124389881 DoS در حد متوسط
CVE-2019-9283 الف-112663564 DoS در حد متوسط
CVE-2019-9348 الف-128431761 DoS در حد متوسط
CVE-2019-9349 الف-124330204 DoS در حد متوسط
CVE-2019-9352 الف-124253062 DoS در حد متوسط
CVE-2019-9371 الف-132783254 DoS در حد متوسط
CVE-2019-9379 الف-124329638 DoS در حد متوسط
CVE-2019-9418 الف-111450210 DoS در حد متوسط
CVE-2019-9420 الف-111272481 DoS در حد متوسط

سیستم

CVE منابع تایپ کنید شدت
CVE-2019-9475 A-9496886 شناسه بالا
CVE-2019-9363 الف-123584306 RCE در حد متوسط
CVE-2019-9365 الف-109838537 RCE در حد متوسط
CVE-2018-9425 A-73884967 EoP در حد متوسط
CVE-2019-9463 الف-113584607 EoP در حد متوسط
CVE-2019-9291 الف-112159179 EoP در حد متوسط
CVE-2019-9386 الف-122361874 EoP در حد متوسط
CVE-2019-9375 الف-129344244 EoP در حد متوسط
CVE-2019-9238 الف-121267042 EoP در حد متوسط
CVE-2019-9257 الف-113572342 EoP در حد متوسط
CVE-2019-9258 الف-113655028 EoP در حد متوسط
CVE-2019-9259 الف-113575306 EoP در حد متوسط
CVE-2019-9263 الف-73136824 EoP در حد متوسط
CVE-2019-9266 الف-119501435 EoP در حد متوسط
CVE-2019-9295 الف-36885811 EoP در حد متوسط
CVE-2019-9309 الف-117985575 EoP در حد متوسط
CVE-2019-9350 الف-129562815 EoP در حد متوسط
CVE-2019-9358 الف-120156401 EoP در حد متوسط
CVE-2018-9489 الف-77286245 شناسه در حد متوسط
CVE-2019-9473 الف-115363533 شناسه در حد متوسط
CVE-2019-9474 A-79996267 شناسه در حد متوسط
CVE-2019-9440 الف-37637796 شناسه در حد متوسط
CVE-2019-9277 A-68016944 شناسه در حد متوسط
CVE-2019-9233 الف-122529021 شناسه در حد متوسط
CVE-2019-9234 الف-122465453 شناسه در حد متوسط
CVE-2019-9235 الف-122323053 شناسه در حد متوسط
CVE-2019-9236 الف-122322613 شناسه در حد متوسط
CVE-2019-9237 الف-121325979 شناسه در حد متوسط
CVE-2019-9239 الف-121263487 شناسه در حد متوسط
CVE-2019-9240 الف-121150966 شناسه در حد متوسط
CVE-2019-9241 الف-121036603 شناسه در حد متوسط
CVE-2019-9242 الف-121035878 شناسه در حد متوسط
CVE-2019-9243 الف-120905706 شناسه در حد متوسط
CVE-2019-9244 الف-120865977 شناسه در حد متوسط
CVE-2019-9246 الف-120428637 شناسه در حد متوسط
CVE-2019-9249 الف-120255805 شناسه در حد متوسط
CVE-2019-9250 الف-120276962 شناسه در حد متوسط
CVE-2019-9251 الف-120274615 شناسه در حد متوسط
CVE-2019-9253 الف-109769728 شناسه در حد متوسط
CVE-2019-9260 الف-113495295 شناسه در حد متوسط
CVE-2019-9265 الف-37994606 شناسه در حد متوسط
CVE-2019-9272 الف-11596047 شناسه در حد متوسط
CVE-2019-9284 الف-111850706 شناسه در حد متوسط
CVE-2019-9287 A-78287084 شناسه در حد متوسط
CVE-2019-9289 الف-79883824 شناسه در حد متوسط
CVE-2018-9581 الف-111698366 شناسه در حد متوسط
CVE-2019-9296 الف-112162089 شناسه در حد متوسط
CVE-2019-9312 A-78288018 شناسه در حد متوسط
CVE-2019-9326 الف-111215173 شناسه در حد متوسط
CVE-2019-9328 A-111895000 شناسه در حد متوسط
CVE-2019-9329 الف-112917952 شناسه در حد متوسط
CVE-2019-9332 A-78286500 شناسه در حد متوسط
CVE-2019-9333 الف-109753657 شناسه در حد متوسط
CVE-2019-9344 الف-120845341 شناسه در حد متوسط
CVE-2019-9353 الف-123024201 شناسه در حد متوسط
CVE-2019-9354 الف-118148142 شناسه در حد متوسط
CVE-2019-9355 الف-115903122 شناسه در حد متوسط
CVE-2019-9356 الف-111699773 شناسه در حد متوسط
CVE-2019-9360 الف-120610663 شناسه در حد متوسط
CVE-2019-9368 A-79883568 شناسه در حد متوسط
CVE-2019-9369 A-79995407 شناسه در حد متوسط
CVE-2019-9381 الف-122677612 شناسه در حد متوسط
CVE-2019-9383 الف-120843827 شناسه در حد متوسط
CVE-2019-9387 الف-117569833 شناسه در حد متوسط
CVE-2019-9388 الف-117567437 شناسه در حد متوسط
CVE-2019-9403 الف-113512324 شناسه در حد متوسط
CVE-2019-9414 الف-111893041 شناسه در حد متوسط
CVE-2019-9427 الف-110166350 شناسه در حد متوسط
CVE-2019-9431 الف-109755179 شناسه در حد متوسط
CVE-2019-9432 A-80546108 شناسه در حد متوسط
CVE-2019-9434 A-80432895 شناسه در حد متوسط
CVE-2019-9435 A-80146682 شناسه در حد متوسط
CVE-2019-9330 الف-111214739 شناسه در حد متوسط
CVE-2019-9331 الف-112272279 شناسه در حد متوسط
CVE-2019-9341 الف-111214770 شناسه در حد متوسط
CVE-2019-9342 الف-111214470 شناسه در حد متوسط
CVE-2019-9343 الف-112050983 شناسه در حد متوسط
CVE-2019-9367 الف-112106425 شناسه در حد متوسط
CVE-2019-9413 الف-111935831 شناسه در حد متوسط
CVE-2019-9417 الف-111450079 شناسه در حد متوسط
CVE-2019-9419 الف-111407544 شناسه در حد متوسط
CVE-2019-9422 الف-111214766 شناسه در حد متوسط
CVE-2020-0236 A-79703353 شناسه در حد متوسط
CVE-2019-9279 الف-110476382 DoS در حد متوسط
CVE-2019-9285 الف-111215315 DoS در حد متوسط
CVE-2019-9286 الف-111213909 DoS در حد متوسط
CVE-2019-9311 A-79431031 DoS در حد متوسط
CVE-2019-9327 الف-112050583 DoS در حد متوسط
CVE-2019-9462 الف-91544774 DoS در حد متوسط
CVE-2019-9389 الف-117567058 DoS در حد متوسط
CVE-2019-9390 الف-117551475 DoS در حد متوسط
CVE-2019-9393 الف-116357965 DoS در حد متوسط
CVE-2019-9394 الف-116351796 DoS در حد متوسط
CVE-2019-9395 الف-116267405 DoS در حد متوسط
CVE-2019-9396 الف-115747155 DoS در حد متوسط
CVE-2019-9397 الف-115747410 DoS در حد متوسط
CVE-2019-9398 الف-115745406 DoS در حد متوسط
CVE-2019-9400 الف-115509589 DoS در حد متوسط
CVE-2019-9401 الف-115375248 DoS در حد متوسط
CVE-2019-9402 الف-115372550 DoS در حد متوسط
CVE-2019-9404 الف-112923309 DoS در حد متوسط
CVE-2019-9425 الف-110846194 DoS در حد متوسط
CVE-2019-9430 الف-109838296 DoS در حد متوسط

Libxaac

کتابخانه Android 9 libxaac به‌عنوان آزمایشی علامت‌گذاری شد و به‌عنوان بخشی از بولتن امنیتی Android نوامبر 2018 از نسخه‌های تولیدی Android حذف شد. مایلیم از پژوهشگران به خاطر یافته هایشان قدردانی کنیم.

مشکلات شناسایی شده شامل شناسه های CVE زیر است: CVE-2019-2055، CVE-2019-2059، CVE-2019-2060، CVE-2019-2061، CVE-2019-2062، CVE-2019-2063، CVE-2069 ، CVE-2019-2065، CVE-2019-2066، CVE-2019-2067، CVE-2019-2068، CVE-2019-2069، CVE-2019-2070، CVE-2019-2071، CVE2071، CVE-2019-2071، CVE20- -2019-2073، CVE-2019-2074، CVE-2019-2075، CVE-2019-2076، CVE-2019-2077، CVE-2019-2078، CVE-2019-2079، CVE-2019-2019، CVE-2019-2019 -2081، CVE-2019-2082، CVE-2019-2083، CVE-2019-2084، CVE-2019-2085، CVE-2019-2086، CVE-2019-2087، CVE-2019-2139-2139، CVE-2019-2139، , CVE-2019-2140, CVE-2019-2141, CVE-2019-2142, CVE-2019-2143, CVE-2019-2144, CVE-2019-2145, CVE-2019-2141, CVE21, CVE-2019-2141, CVE22- -2019-2148، CVE-2019-2149، CVE-2019-2150، CVE-2019-2151، CVE-2019-2152، CVE-2019-2153، CVE-2019-2154، CVE-2019-2019، CVE-2019-2019- -2156، CVE-2019-2157، CVE-2019-2158، CVE-2019-2159، CVE-2019-2160، CVE-2019-2161، CVE-2019-2162، CVE-2019-2163، CVE-2019-2163، , CVE-2019-2165, CVE-2019-2166, CVE-2019-2167, CVE-2019-2168, CVE-2019-2169, CVE-2019-2170, CV E-2019-2171، CVE-2019-2172، CVE-2019-9261، CVE-2019-9264، CVE-2019-9385، و CVE-2019-9391.

پرسش و پاسخ متداول

این بخش به سوالات متداولی که ممکن است پس از خواندن این بولتن رخ دهد پاسخ می دهد.

1. چگونه تشخیص دهم که آیا دستگاه من برای رفع این مشکلات به روز شده است؟

برای آشنایی با نحوه بررسی سطح وصله امنیتی دستگاه، به بررسی و به‌روزرسانی نسخه Android خود مراجعه کنید.

اندروید 10، همانطور که در AOSP منتشر شد، دارای وصله امنیتی پیش‌فرض 01-09-2019 است. دستگاه‌های اندرویدی دارای Android 10 و دارای وصله امنیتی 2019-09-01 یا جدیدتر، همه مشکلات موجود در این یادداشت‌های انتشار امنیتی را برطرف می‌کنند.

2. ورودی های ستون Type به چه معناست؟
ورودی های ستون نوع جدول جزئیات آسیب پذیری به طبقه بندی آسیب پذیری امنیتی اشاره دارد.

مخفف تعریف
RCE اجرای کد از راه دور
EoP بالا بردن امتیاز
شناسه افشای اطلاعات
DoS خود داری از خدمات
N/A طبقه بندی در دسترس نیست

3. ورودی های ستون References به چه معناست؟

ورودی‌های زیر ستون مراجع جدول جزئیات آسیب‌پذیری ممکن است حاوی پیشوندی باشد که سازمانی را که مقدار مرجع به آن تعلق دارد، مشخص می‌کند.

پیشوند ارجاع
آ- شناسه باگ اندروید

نسخه ها

نسخه تاریخ یادداشت
1.0 20 آگوست 2019 یادداشت های امنیتی منتشر شد.
1.1 21 آگوست 2019 تنظیمات جزئی در جداول آسیب پذیری
1.2 17 سپتامبر 2019 قدردانی ها و لیست مسائل به روز شد
1.3 21 نوامبر 2019 لیست مسائل به روز شد
1.4 12 فوریه 2020 لیست مسائل به روز شد
1.5 26 فوریه 2020 لیست مسائل به روز شد
1.6 11 مه 2020 لیست مسائل به روز شد
1.7 11 ژوئن 2020 لیست مسائل به روز شد
1.8 27 ژانویه 2021 لیست مسائل به روز شد