Publicado em 20 de agosto de 2019 | Atualizado em 27 de janeiro de 2021
Estas Notas de versão de segurança do Android contêm detalhes das vulnerabilidades de segurança que afetam os dispositivos Android que são abordadas como parte do Android 10. Os dispositivos Android 10 com um nível de patch de segurança de 2019-09-01 ou posterior estão protegidos contra esses problemas (Android 10, conforme lançado em AOSP, tem um nível de patch de segurança padrão de 2019-09-01). Para saber como verificar o nível de patch de segurança de um dispositivo, consulte Como verificar e atualizar sua versão do Android .
Os parceiros Android são notificados de todos os problemas antes da publicação. Os patches de código-fonte para esses problemas serão lançados no repositório do Android Open Source Project (AOSP) como parte da versão do Android 10.
A avaliação de gravidade dos problemas nestas notas de versão é baseada no efeito que a exploração da vulnerabilidade possivelmente teria em um dispositivo afetado, supondo que as atenuações de plataforma e serviço estejam desativadas para fins de desenvolvimento ou se forem ignoradas com êxito.
Não tivemos relatos de exploração ativa de clientes ou abuso desses problemas relatados recentemente. Consulte a seção de mitigações do Android e do Google Play Protect para obter detalhes sobre as proteções da plataforma de segurança Android e o Google Play Protect, que melhoram a segurança da plataforma Android.
Anúncios
- Os problemas descritos neste documento são abordados como parte do Android 10. Essas informações são fornecidas para referência e transparência.
- Gostaríamos de reconhecer e agradecer à comunidade de pesquisa de segurança por suas contribuições contínuas para proteger o ecossistema Android.
Mitigações de serviço Android e Google
Este é um resumo das mitigações fornecidas pela plataforma de segurança do Android e proteções de serviços, como o Google Play Protect . Esses recursos reduzem a probabilidade de vulnerabilidades de segurança serem exploradas com sucesso no Android.
- A exploração de muitos problemas no Android é dificultada pelos aprimoramentos nas versões mais recentes da plataforma Android. Incentivamos todos os usuários a atualizar para a versão mais recente do Android sempre que possível.
- A equipe de segurança do Android monitora ativamente o abuso por meio do Google Play Protect e avisa os usuários sobre aplicativos potencialmente prejudiciais . O Google Play Protect está ativado por padrão em dispositivos com Google Mobile Services e é especialmente importante para usuários que instalam aplicativos de fora do Google Play.
Android 10: detalhes da vulnerabilidade
As seções abaixo fornecem detalhes para vulnerabilidades de segurança corrigidas como parte do Android 10. As vulnerabilidades são agrupadas no componente que afetam e incluem detalhes como CVE, referências associadas, tipo de vulnerabilidade e gravidade .
Tempo de execução do Android
| CVE | Referências | Modelo | Gravidade |
|---|---|---|---|
| CVE-2019-9290 | A-113039724 | EoP | Moderado |
| CVE-2019-9429 | A-110035108 | EoP | Moderado |
Estrutura
| CVE | Referências | Modelo | Gravidade |
|---|---|---|---|
| CVE-2019-9262 | A-111792351 | RCE | Moderado |
| CVE-2019-9256 | A-111921829 | RCE | Moderado |
| CVE-2019-9280 | A-119322269 | EoP | Moderado |
| CVE-2019-2216 | A-38390530 | EoP | Moderado |
| CVE-2019-2089 | A-116608833 | EoP | Moderado |
| CVE-2019-9288 | A-111363077 | EoP | Moderado |
| CVE-2019-9384 | A-120568007 | EoP | Moderado |
| CVE-2019-9269 | A-36899497 | EoP | Moderado |
| CVE-2019-9378 | A-124539196 | EoP | Moderado |
| CVE-2019-9380 | A-123700098 | EoP | Moderado |
| CVE-2019-9407 | A-112434609 | EoP | Moderado |
| CVE-2019-2088 | A-143895055 | EU IRIA | Moderado |
| CVE-2019-2058 | A-136089102 | EU IRIA | Moderado |
| CVE-2019-9351 | A-128599864 | EU IRIA | Moderado |
| CVE-2019-9281 | A-32748076 | EU IRIA | Moderado |
| CVE-2019-9377 | A-128599663 | EU IRIA | Moderado |
| CVE-2019-9292 | A-115384617 | EU IRIA | Moderado |
| CVE-2019-9424 | A-110941092 | EU IRIA | Moderado |
| CVE-2019-9399 | A-115635664 | EU IRIA | Moderado |
| CVE-2019-9421 | A-111215250 | EU IRIA | Moderado |
| CVE-2019-9323 | A-30770233 | EU IRIA | Moderado |
| CVE-2019-9438 | A-77821568 | EU IRIA | Moderado |
| CVE-2019-9373 | A-130173029 | DoS | Moderado |
| CVE-2019-9372 | A-132782448 | DoS | Moderado |
Biblioteca
| CVE | Referências | Modelo | Gravidade |
|---|---|---|---|
| CVE-2019-9423 | A-110986616 | EoP | Moderado |
| CVE-2019-9459 | A-79593569 | EoP | Moderado |
Estrutura de mídia
| CVE | Referências | Modelo | Gravidade |
|---|---|---|---|
| CVE-2019-9297 | A-112890242 | RCE | Moderado |
| CVE-2019-9298 | A-112892194 | RCE | Moderado |
| CVE-2019-9299 | A-112663886 | RCE | Moderado |
| CVE-2019-9300 | A-112661610 | RCE | Moderado |
| CVE-2019-9301 | A-112663384 | RCE | Moderado |
| CVE-2019-9302 | A-112661356 | RCE | Moderado |
| CVE-2019-9303 | A-112661057 | RCE | Moderado |
| CVE-2019-9304 | A-112662270 | RCE | Moderado |
| CVE-2019-9305 | A-112661835 | RCE | Moderado |
| CVE-2019-9306 | A-112661348 | RCE | Moderado |
| CVE-2019-9307 | A-112661893 | RCE | Moderado |
| CVE-2019-9308 | A-112661742 | RCE | Moderado |
| CVE-2019-9346 | A-128433933 | RCE | Moderado |
| CVE-2019-9357 | A-112662995 | RCE | Moderado |
| CVE-2019-9382 | A-120874654 | RCE | Moderado |
| CVE-2019-9405 | A-112890225 | RCE | Moderado |
| CVE-2019-9278 | A-112537774 | RCE | Moderado |
| CVE-2020-0086 | A-131859347 | EoP | Moderado |
| CVE-2019-9310 | A-112891546 | EoP | Moderado |
| CVE-2019-9232 | A-122675483 | EU IRIA | Moderado |
| CVE-2019-9247 | A-120426166 | EU IRIA | Moderado |
| CVE-2019-9282 | A-113211371 | EU IRIA | Moderado |
| CVE-2019-9293 | A-117661116 | EU IRIA | Moderado |
| CVE-2019-9294 | A-111764444 | EU IRIA | Moderado |
| CVE-2019-9313 | A-112005441 | EU IRIA | Moderado |
| CVE-2019-9314 | A-112329563 | EU IRIA | Moderado |
| CVE-2019-9315 | A-112326216 | EU IRIA | Moderado |
| CVE-2019-9316 | A-112052432 | EU IRIA | Moderado |
| CVE-2019-9317 | A-112052258 | EU IRIA | Moderado |
| CVE-2019-9318 | A-111764725 | EU IRIA | Moderado |
| CVE-2019-9319 | A-111762100 | EU IRIA | Moderado |
| CVE-2019-9320 | A-111761624 | EU IRIA | Moderado |
| CVE-2019-9321 | A-111208713 | EU IRIA | Moderado |
| CVE-2019-9322 | A-111128067 | EU IRIA | Moderado |
| CVE-2019-9325 | A-112001302 | EU IRIA | Moderado |
| CVE-2019-9334 | A-112859934 | EU IRIA | Moderado |
| CVE-2019-9335 | A-112328051 | EU IRIA | Moderado |
| CVE-2019-9336 | A-112326322 | EU IRIA | Moderado |
| CVE-2019-9337 | A-112204376 | EU IRIA | Moderado |
| CVE-2019-9338 | A-111762686 | EU IRIA | Moderado |
| CVE-2019-9347 | A-109891727 | EU IRIA | Moderado |
| CVE-2019-9359 | A-111407302 | EU IRIA | Moderado |
| CVE-2019-9361 | A-111762807 | EU IRIA | Moderado |
| CVE-2019-9362 | A-120426980 | EU IRIA | Moderado |
| CVE-2019-9364 | A-73364631 | EU IRIA | Moderado |
| CVE-2019-9366 | A-112052062 | EU IRIA | Moderado |
| CVE-2019-9370 | A-133880046 | EU IRIA | Moderado |
| CVE-2019-9406 | A-112552517 | EU IRIA | Moderado |
| CVE-2019-9408 | A-112380157 | EU IRIA | Moderado |
| CVE-2019-9409 | A-112272091 | EU IRIA | Moderado |
| CVE-2019-9410 | A-112204443 | EU IRIA | Moderado |
| CVE-2019-9411 | A-112204845 | EU IRIA | Moderado |
| CVE-2019-9412 | A-112006096 | EU IRIA | Moderado |
| CVE-2019-9415 | A-111805098 | EU IRIA | Moderado |
| CVE-2019-9416 | A-111804142 | EU IRIA | Moderado |
| CVE-2019-9433 | A-80479354 | EU IRIA | Moderado |
| CVE-2019-9252 | A-73339042 | EU IRIA | Moderado |
| CVE-2019-9268 | A-77474014 | DoS | Moderado |
| CVE-2020-0088 | A-124389881 | DoS | Moderado |
| CVE-2019-9283 | A-112663564 | DoS | Moderado |
| CVE-2019-9348 | A-128431761 | DoS | Moderado |
| CVE-2019-9349 | A-124330204 | DoS | Moderado |
| CVE-2019-9352 | A-124253062 | DoS | Moderado |
| CVE-2019-9371 | A-132783254 | DoS | Moderado |
| CVE-2019-9379 | A-124329638 | DoS | Moderado |
| CVE-2019-9418 | A-111450210 | DoS | Moderado |
| CVE-2019-9420 | A-111272481 | DoS | Moderado |
Sistema
| CVE | Referências | Modelo | Gravidade |
|---|---|---|---|
| CVE-2019-9475 | A-9496886 | EU IRIA | Alto |
| CVE-2019-9363 | A-123584306 | RCE | Moderado |
| CVE-2019-9365 | A-109838537 | RCE | Moderado |
| CVE-2018-9425 | A-73884967 | EoP | Moderado |
| CVE-2019-9463 | A-113584607 | EoP | Moderado |
| CVE-2019-9291 | A-112159179 | EoP | Moderado |
| CVE-2019-9386 | A-122361874 | EoP | Moderado |
| CVE-2019-9375 | A-129344244 | EoP | Moderado |
| CVE-2019-9238 | A-121267042 | EoP | Moderado |
| CVE-2019-9257 | A-113572342 | EoP | Moderado |
| CVE-2019-9258 | A-113655028 | EoP | Moderado |
| CVE-2019-9259 | A-113575306 | EoP | Moderado |
| CVE-2019-9263 | A-73136824 | EoP | Moderado |
| CVE-2019-9266 | A-119501435 | EoP | Moderado |
| CVE-2019-9295 | A-36885811 | EoP | Moderado |
| CVE-2019-9309 | A-117985575 | EoP | Moderado |
| CVE-2019-9350 | A-129562815 | EoP | Moderado |
| CVE-2019-9358 | A-120156401 | EoP | Moderado |
| CVE-2018-9489 | A-77286245 | EU IRIA | Moderado |
| CVE-2019-9473 | A-115363533 | EU IRIA | Moderado |
| CVE-2019-9474 | A-79996267 | EU IRIA | Moderado |
| CVE-2019-9440 | A-37637796 | EU IRIA | Moderado |
| CVE-2019-9277 | A-68016944 | EU IRIA | Moderado |
| CVE-2019-9233 | A-122529021 | EU IRIA | Moderado |
| CVE-2019-9234 | A-122465453 | EU IRIA | Moderado |
| CVE-2019-9235 | A-122323053 | EU IRIA | Moderado |
| CVE-2019-9236 | A-122322613 | EU IRIA | Moderado |
| CVE-2019-9237 | A-121325979 | EU IRIA | Moderado |
| CVE-2019-9239 | A-121263487 | EU IRIA | Moderado |
| CVE-2019-9240 | A-121150966 | EU IRIA | Moderado |
| CVE-2019-9241 | A-121036603 | EU IRIA | Moderado |
| CVE-2019-9242 | A-121035878 | EU IRIA | Moderado |
| CVE-2019-9243 | A-120905706 | EU IRIA | Moderado |
| CVE-2019-9244 | A-120865977 | EU IRIA | Moderado |
| CVE-2019-9246 | A-120428637 | EU IRIA | Moderado |
| CVE-2019-9249 | A-120255805 | EU IRIA | Moderado |
| CVE-2019-9250 | A-120276962 | EU IRIA | Moderado |
| CVE-2019-9251 | A-120274615 | EU IRIA | Moderado |
| CVE-2019-9253 | A-109769728 | EU IRIA | Moderado |
| CVE-2019-9260 | A-113495295 | EU IRIA | Moderado |
| CVE-2019-9265 | A-37994606 | EU IRIA | Moderado |
| CVE-2019-9272 | A-11596047 | EU IRIA | Moderado |
| CVE-2019-9284 | A-111850706 | EU IRIA | Moderado |
| CVE-2019-9287 | A-78287084 | EU IRIA | Moderado |
| CVE-2019-9289 | A-79883824 | EU IRIA | Moderado |
| CVE-2018-9581 | A-111698366 | EU IRIA | Moderado |
| CVE-2019-9296 | A-112162089 | EU IRIA | Moderado |
| CVE-2019-9312 | A-78288018 | EU IRIA | Moderado |
| CVE-2019-9326 | A-111215173 | EU IRIA | Moderado |
| CVE-2019-9328 | A-111895000 | EU IRIA | Moderado |
| CVE-2019-9329 | A-112917952 | EU IRIA | Moderado |
| CVE-2019-9332 | A-78286500 | EU IRIA | Moderado |
| CVE-2019-9333 | A-109753657 | EU IRIA | Moderado |
| CVE-2019-9344 | A-120845341 | EU IRIA | Moderado |
| CVE-2019-9353 | A-123024201 | EU IRIA | Moderado |
| CVE-2019-9354 | A-118148142 | EU IRIA | Moderado |
| CVE-2019-9355 | A-115903122 | EU IRIA | Moderado |
| CVE-2019-9356 | A-111699773 | EU IRIA | Moderado |
| CVE-2019-9360 | A-120610663 | EU IRIA | Moderado |
| CVE-2019-9368 | A-79883568 | EU IRIA | Moderado |
| CVE-2019-9369 | A-79995407 | EU IRIA | Moderado |
| CVE-2019-9381 | A-122677612 | EU IRIA | Moderado |
| CVE-2019-9383 | A-120843827 | EU IRIA | Moderado |
| CVE-2019-9387 | A-117569833 | EU IRIA | Moderado |
| CVE-2019-9388 | A-117567437 | EU IRIA | Moderado |
| CVE-2019-9403 | A-113512324 | EU IRIA | Moderado |
| CVE-2019-9414 | A-111893041 | EU IRIA | Moderado |
| CVE-2019-9427 | A-110166350 | EU IRIA | Moderado |
| CVE-2019-9431 | A-109755179 | EU IRIA | Moderado |
| CVE-2019-9432 | A-80546108 | EU IRIA | Moderado |
| CVE-2019-9434 | A-80432895 | EU IRIA | Moderado |
| CVE-2019-9435 | A-80146682 | EU IRIA | Moderado |
| CVE-2019-9330 | A-111214739 | EU IRIA | Moderado |
| CVE-2019-9331 | A-112272279 | EU IRIA | Moderado |
| CVE-2019-9341 | A-111214770 | EU IRIA | Moderado |
| CVE-2019-9342 | A-111214470 | EU IRIA | Moderado |
| CVE-2019-9343 | A-112050983 | EU IRIA | Moderado |
| CVE-2019-9367 | A-112106425 | EU IRIA | Moderado |
| CVE-2019-9413 | A-111935831 | EU IRIA | Moderado |
| CVE-2019-9417 | A-111450079 | EU IRIA | Moderado |
| CVE-2019-9419 | A-111407544 | EU IRIA | Moderado |
| CVE-2019-9422 | A-111214766 | EU IRIA | Moderado |
| CVE-2020-0236 | A-79703353 | EU IRIA | Moderado |
| CVE-2019-9279 | A-110476382 | DoS | Moderado |
| CVE-2019-9285 | A-111215315 | DoS | Moderado |
| CVE-2019-9286 | A-111213909 | DoS | Moderado |
| CVE-2019-9311 | A-79431031 | DoS | Moderado |
| CVE-2019-9327 | A-112050583 | DoS | Moderado |
| CVE-2019-9462 | A-91544774 | DoS | Moderado |
| CVE-2019-9389 | A-117567058 | DoS | Moderado |
| CVE-2019-9390 | A-117551475 | DoS | Moderado |
| CVE-2019-9393 | A-116357965 | DoS | Moderado |
| CVE-2019-9394 | A-116351796 | DoS | Moderado |
| CVE-2019-9395 | A-116267405 | DoS | Moderado |
| CVE-2019-9396 | A-115747155 | DoS | Moderado |
| CVE-2019-9397 | A-115747410 | DoS | Moderado |
| CVE-2019-9398 | A-115745406 | DoS | Moderado |
| CVE-2019-9400 | A-115509589 | DoS | Moderado |
| CVE-2019-9401 | A-115375248 | DoS | Moderado |
| CVE-2019-9402 | A-115372550 | DoS | Moderado |
| CVE-2019-9404 | A-112923309 | DoS | Moderado |
| CVE-2019-9425 | A-110846194 | DoS | Moderado |
| CVE-2019-9430 | A-109838296 | DoS | Moderado |
Libxaac
A biblioteca libxaac do Android 9 foi marcada como experimental e removida das compilações do Android de produção como parte do Boletim de segurança do Android de novembro de 2018 . Gostaríamos de agradecer aos pesquisadores por suas descobertas.
Os problemas identificados incluem os seguintes IDs CVE: CVE-2019-2055, CVE-2019-2059, CVE-2019-2060, CVE-2019-2061, CVE-2019-2062, CVE-2019-2063, CVE-2019-2064 , CVE-2019-2065, CVE-2019-2066, CVE-2019-2067, CVE-2019-2068, CVE-2019-2069, CVE-2019-2070, CVE-2019-2071, CVE-2019-2072, CVE -2019-2073, CVE-2019-2074, CVE-2019-2075, CVE-2019-2076, CVE-2019-2077, CVE-2019-2078, CVE-2019-2079, CVE-2019-2080, CVE-2019 -2081, CVE-2019-2082, CVE-2019-2083, CVE-2019-2084, CVE-2019-2085, CVE-2019-2086, CVE-2019-2087, CVE-2019-2138, CVE-2019-2139 , CVE-2019-2140, CVE-2019-2141, CVE-2019-2142, CVE-2019-2143, CVE-2019-2144, CVE-2019-2145, CVE-2019-2146, CVE-2019-2147, CVE -2019-2148, CVE-2019-2149, CVE-2019-2150, CVE-2019-2151, CVE-2019-2152, CVE-2019-2153, CVE-2019-2154, CVE-2019-2155, CVE-2019 -2156, CVE-2019-2157, CVE-2019-2158, CVE-2019-2159, CVE-2019-2160, CVE-2019-2161, CVE-2019-2162, CVE-2019-2163, CVE-2019-2164 , CVE-2019-2165, CVE-2019-2166, CVE-2019-2167, CVE-2019-2168, CVE-2019-2169, CVE-2019-2170, CV E-2019-2171, CVE-2019-2172, CVE-2019-9261, CVE-2019-9264, CVE-2019-9385 e CVE-2019-9391.
Perguntas e respostas comuns
Esta seção responde a perguntas comuns que podem ocorrer após a leitura deste boletim.
1. Como determino se meu dispositivo está atualizado para resolver esses problemas?
Para saber como verificar o nível de patch de segurança de um dispositivo, consulte Verificar e atualizar sua versão do Android .
O Android 10, conforme lançado no AOSP, tem um nível de patch de segurança padrão de 01/09/2019. Os dispositivos Android que executam o Android 10 e com um nível de patch de segurança de 2019-09-01 ou posterior resolvem todos os problemas contidos nestas notas de versão de segurança.
2. O que significam as entradas na coluna Tipo ?
As entradas na coluna Tipo da tabela de detalhes da vulnerabilidade fazem referência à classificação da vulnerabilidade de segurança.
| Abreviação | Definição |
|---|---|
| RCE | Execução remota de código |
| EoP | Elevação de privilégio |
| EU IRIA | Divulgação de informação |
| DoS | Negação de serviço |
| N / D | Classificação não disponível |
3. O que significam as entradas na coluna Referências ?
As entradas na coluna Referências da tabela de detalhes da vulnerabilidade podem conter um prefixo que identifica a organização à qual o valor de referência pertence.
| Prefixo | Referência |
|---|---|
| UMA- | ID do bug do Android |
Versões
| Versão | Encontro | Notas |
|---|---|---|
| 1,0 | 20 de agosto de 2019 | Notas de versão de segurança publicadas. |
| 1.1 | 21 de agosto de 2019 | Pequenos ajustes nas tabelas de vulnerabilidade |
| 1.2 | 17 de setembro de 2019 | Agradecimentos atualizados e lista de problemas |
| 1.3 | 21 de novembro de 2019 | Lista de problemas atualizada |
| 1,4 | 12 de fevereiro de 2020 | Lista de problemas atualizada |
| 1,5 | 26 de fevereiro de 2020 | Lista de problemas atualizada |
| 1,6 | 11 de maio de 2020 | Lista de problemas atualizada |
| 1,7 | 11 de junho de 2020 | Lista de problemas atualizada |
| 1,8 | 27 de janeiro de 2021 | Lista de problemas atualizada |