منتشر شده در 20 آگوست 2019 | به روز شده در 27 ژانویه 2021
این یادداشتهای انتشار امنیتی Android حاوی جزئیات آسیبپذیریهای امنیتی است که بر دستگاههای Android تأثیر میگذارد که به عنوان بخشی از Android 10 مورد بررسی قرار میگیرند. دستگاههای Android 10 با سطح وصله امنیتی 2019-09-01 یا بالاتر در برابر این مشکلات محافظت میشوند (Android 10، همانطور که در تاریخ منتشر شده است. AOSP، دارای یک سطح وصله امنیتی پیشفرض 01-09-2019 است. برای یادگیری نحوه بررسی سطح وصله امنیتی دستگاه، به نحوه بررسی و بهروزرسانی نسخه Android خود مراجعه کنید.
شرکای Android از همه مشکلات قبل از انتشار مطلع می شوند. وصله کد منبع برای این مشکلات به عنوان بخشی از نسخه اندروید 10 در مخزن پروژه منبع باز Android (AOSP) منتشر شده است.
ارزیابی شدت مشکلات در این یادداشتهای انتشار بر اساس تأثیری است که احتمالاً بهرهبرداری از آسیبپذیری ممکن است بر دستگاه آسیبدیده داشته باشد، با این فرض که پلتفرم و کاهش خدمات برای اهداف توسعه خاموش شدهاند یا در صورت دور زدن موفقیتآمیز انجام شوند.
ما هیچ گزارشی مبنی بر بهره برداری یا سوء استفاده فعال مشتری از این مشکلات گزارش شده جدید نداشته ایم. برای جزئیات بیشتر در مورد حفاظت های پلتفرم امنیتی اندروید و Google Play Protect که امنیت پلتفرم اندروید را بهبود می بخشد، به بخش کاهش دهنده های Android و Google Play Protect مراجعه کنید.
اطلاعیه ها
- مسائل شرح داده شده در این سند به عنوان بخشی از Android 10 پرداخته شده است. این اطلاعات برای مرجع و شفافیت ارائه شده است.
- مایلیم از جامعه تحقیقاتی امنیتی برای کمک های مستمرشان در جهت ایمن سازی اکوسیستم اندروید قدردانی و تشکر کنیم .
کاهش خدمات اندروید و گوگل
این خلاصهای از کاهشهای ارائه شده توسط پلتفرم امنیتی Android و محافظتهای خدماتی مانند Google Play Protect است. این قابلیت ها احتمال سوء استفاده موفقیت آمیز از آسیب پذیری های امنیتی در اندروید را کاهش می دهد.
- بهره برداری از بسیاری از مسائل در اندروید با پیشرفت در نسخه های جدیدتر پلتفرم اندروید دشوارتر شده است. ما همه کاربران را تشویق می کنیم تا در صورت امکان به آخرین نسخه اندروید بروزرسانی کنند.
- تیم امنیتی Android به طور فعال از طریق Google Play Protect برای سوء استفاده نظارت می کند و به کاربران در مورد برنامه های بالقوه مضر هشدار می دهد. Google Play Protect به طور پیشفرض در دستگاههای دارای سرویسهای Google Mobile فعال است و به ویژه برای کاربرانی که برنامههایی را از خارج از Google Play نصب میکنند، مهم است.
Android 10—جزئیات آسیب پذیری
بخشهای زیر جزئیات آسیبپذیریهای امنیتی رفعشده بهعنوان بخشی از Android 10 را ارائه میکنند. آسیبپذیریها تحت مؤلفهای که بر آن تأثیر میگذارند گروهبندی میشوند و شامل جزئیاتی مانند CVE، مراجع مرتبط، نوع آسیبپذیری و شدت میشوند.
زمان اجرا اندروید
| CVE | مراجع | تایپ کنید | شدت |
|---|---|---|---|
| CVE-2019-9290 | الف-113039724 | EoP | متوسط |
| CVE-2019-9429 | الف-110035108 | EoP | متوسط |
چارچوب
| CVE | مراجع | تایپ کنید | شدت |
|---|---|---|---|
| CVE-2019-9262 | الف-111792351 | RCE | متوسط |
| CVE-2019-9256 | الف-111921829 | RCE | متوسط |
| CVE-2019-9280 | الف-119322269 | EoP | متوسط |
| CVE-2019-2216 | A-38390530 | EoP | متوسط |
| CVE-2019-2089 | الف-116608833 | EoP | متوسط |
| CVE-2019-9288 | الف-111363077 | EoP | متوسط |
| CVE-2019-9384 | الف-120568007 | EoP | متوسط |
| CVE-2019-9269 | الف-36899497 | EoP | متوسط |
| CVE-2019-9378 | الف-124539196 | EoP | متوسط |
| CVE-2019-9380 | الف-123700098 | EoP | متوسط |
| CVE-2019-9407 | الف-112434609 | EoP | متوسط |
| CVE-2019-2088 | الف-143895055 | شناسه | متوسط |
| CVE-2019-2058 | الف-136089102 | شناسه | متوسط |
| CVE-2019-9351 | الف-128599864 | شناسه | متوسط |
| CVE-2019-9281 | الف-32748076 | شناسه | متوسط |
| CVE-2019-9377 | الف-128599663 | شناسه | متوسط |
| CVE-2019-9292 | الف-115384617 | شناسه | متوسط |
| CVE-2019-9424 | الف-110941092 | شناسه | متوسط |
| CVE-2019-9399 | الف-115635664 | شناسه | متوسط |
| CVE-2019-9421 | الف-111215250 | شناسه | متوسط |
| CVE-2019-9323 | A-30770233 | شناسه | متوسط |
| CVE-2019-9438 | الف-77821568 | شناسه | متوسط |
| CVE-2019-9373 | الف-130173029 | DoS | متوسط |
| CVE-2019-9372 | الف-132782448 | DoS | متوسط |
کتابخانه
| CVE | مراجع | تایپ کنید | شدت |
|---|---|---|---|
| CVE-2019-9423 | الف-110986616 | EoP | متوسط |
| CVE-2019-9459 | A-79593569 | EoP | متوسط |
چارچوب رسانه ای
| CVE | مراجع | تایپ کنید | شدت |
|---|---|---|---|
| CVE-2019-9297 | الف-112890242 | RCE | متوسط |
| CVE-2019-9298 | الف-112892194 | RCE | متوسط |
| CVE-2019-9299 | الف-112663886 | RCE | متوسط |
| CVE-2019-9300 | الف-112661610 | RCE | متوسط |
| CVE-2019-9301 | الف-112663384 | RCE | متوسط |
| CVE-2019-9302 | الف-112661356 | RCE | متوسط |
| CVE-2019-9303 | الف-112661057 | RCE | متوسط |
| CVE-2019-9304 | الف-112662270 | RCE | متوسط |
| CVE-2019-9305 | الف-112661835 | RCE | متوسط |
| CVE-2019-9306 | الف-112661348 | RCE | متوسط |
| CVE-2019-9307 | الف-112661893 | RCE | متوسط |
| CVE-2019-9308 | الف-112661742 | RCE | متوسط |
| CVE-2019-9346 | الف-128433933 | RCE | متوسط |
| CVE-2019-9357 | الف-112662995 | RCE | متوسط |
| CVE-2019-9382 | الف-120874654 | RCE | متوسط |
| CVE-2019-9405 | الف-112890225 | RCE | متوسط |
| CVE-2019-9278 | الف-112537774 | RCE | متوسط |
| CVE-2020-0086 | الف-131859347 | EoP | متوسط |
| CVE-2019-9310 | الف-112891546 | EoP | متوسط |
| CVE-2019-9232 | الف-122675483 | شناسه | متوسط |
| CVE-2019-9247 | الف-120426166 | شناسه | متوسط |
| CVE-2019-9282 | الف-113211371 | شناسه | متوسط |
| CVE-2019-9293 | الف-117661116 | شناسه | متوسط |
| CVE-2019-9294 | الف-111764444 | شناسه | متوسط |
| CVE-2019-9313 | الف-112005441 | شناسه | متوسط |
| CVE-2019-9314 | الف-112329563 | شناسه | متوسط |
| CVE-2019-9315 | الف-112326216 | شناسه | متوسط |
| CVE-2019-9316 | الف-112052432 | شناسه | متوسط |
| CVE-2019-9317 | الف-112052258 | شناسه | متوسط |
| CVE-2019-9318 | الف-111764725 | شناسه | متوسط |
| CVE-2019-9319 | الف-111762100 | شناسه | متوسط |
| CVE-2019-9320 | الف-111761624 | شناسه | متوسط |
| CVE-2019-9321 | الف-111208713 | شناسه | متوسط |
| CVE-2019-9322 | الف-111128067 | شناسه | متوسط |
| CVE-2019-9325 | الف-112001302 | شناسه | متوسط |
| CVE-2019-9334 | الف-112859934 | شناسه | متوسط |
| CVE-2019-9335 | الف-112328051 | شناسه | متوسط |
| CVE-2019-9336 | الف-112326322 | شناسه | متوسط |
| CVE-2019-9337 | الف-112204376 | شناسه | متوسط |
| CVE-2019-9338 | الف-111762686 | شناسه | متوسط |
| CVE-2019-9347 | الف-109891727 | شناسه | متوسط |
| CVE-2019-9359 | الف-111407302 | شناسه | متوسط |
| CVE-2019-9361 | الف-111762807 | شناسه | متوسط |
| CVE-2019-9362 | الف-120426980 | شناسه | متوسط |
| CVE-2019-9364 | الف-73364631 | شناسه | متوسط |
| CVE-2019-9366 | الف-112052062 | شناسه | متوسط |
| CVE-2019-9370 | الف-133880046 | شناسه | متوسط |
| CVE-2019-9406 | الف-112552517 | شناسه | متوسط |
| CVE-2019-9408 | الف-112380157 | شناسه | متوسط |
| CVE-2019-9409 | الف-112272091 | شناسه | متوسط |
| CVE-2019-9410 | الف-112204443 | شناسه | متوسط |
| CVE-2019-9411 | الف-112204845 | شناسه | متوسط |
| CVE-2019-9412 | الف-112006096 | شناسه | متوسط |
| CVE-2019-9415 | الف-111805098 | شناسه | متوسط |
| CVE-2019-9416 | الف-111804142 | شناسه | متوسط |
| CVE-2019-9433 | A-80479354 | شناسه | متوسط |
| CVE-2019-9252 | A-73339042 | شناسه | متوسط |
| CVE-2019-9268 | A-77474014 | DoS | متوسط |
| CVE-2020-0088 | الف-124389881 | DoS | متوسط |
| CVE-2019-9283 | الف-112663564 | DoS | متوسط |
| CVE-2019-9348 | الف-128431761 | DoS | متوسط |
| CVE-2019-9349 | الف-124330204 | DoS | متوسط |
| CVE-2019-9352 | الف-124253062 | DoS | متوسط |
| CVE-2019-9371 | الف-132783254 | DoS | متوسط |
| CVE-2019-9379 | الف-124329638 | DoS | متوسط |
| CVE-2019-9418 | الف-111450210 | DoS | متوسط |
| CVE-2019-9420 | الف-111272481 | DoS | متوسط |
سیستم
| CVE | مراجع | تایپ کنید | شدت |
|---|---|---|---|
| CVE-2019-9475 | A-9496886 | شناسه | بالا |
| CVE-2019-9363 | الف-123584306 | RCE | متوسط |
| CVE-2019-9365 | الف-109838537 | RCE | متوسط |
| CVE-2018-9425 | A-73884967 | EoP | متوسط |
| CVE-2019-9463 | الف-113584607 | EoP | متوسط |
| CVE-2019-9291 | الف-112159179 | EoP | متوسط |
| CVE-2019-9386 | الف-122361874 | EoP | متوسط |
| CVE-2019-9375 | الف-129344244 | EoP | متوسط |
| CVE-2019-9238 | الف-121267042 | EoP | متوسط |
| CVE-2019-9257 | الف-113572342 | EoP | متوسط |
| CVE-2019-9258 | الف-113655028 | EoP | متوسط |
| CVE-2019-9259 | الف-113575306 | EoP | متوسط |
| CVE-2019-9263 | الف-73136824 | EoP | متوسط |
| CVE-2019-9266 | الف-119501435 | EoP | متوسط |
| CVE-2019-9295 | A-36885811 | EoP | متوسط |
| CVE-2019-9309 | الف-117985575 | EoP | متوسط |
| CVE-2019-9350 | الف-129562815 | EoP | متوسط |
| CVE-2019-9358 | الف-120156401 | EoP | متوسط |
| CVE-2018-9489 | الف-77286245 | شناسه | متوسط |
| CVE-2019-9473 | الف-115363533 | شناسه | متوسط |
| CVE-2019-9474 | A-79996267 | شناسه | متوسط |
| CVE-2019-9440 | الف-37637796 | شناسه | متوسط |
| CVE-2019-9277 | A-68016944 | شناسه | متوسط |
| CVE-2019-9233 | الف-122529021 | شناسه | متوسط |
| CVE-2019-9234 | الف-122465453 | شناسه | متوسط |
| CVE-2019-9235 | الف-122323053 | شناسه | متوسط |
| CVE-2019-9236 | الف-122322613 | شناسه | متوسط |
| CVE-2019-9237 | الف-121325979 | شناسه | متوسط |
| CVE-2019-9239 | الف-121263487 | شناسه | متوسط |
| CVE-2019-9240 | الف-121150966 | شناسه | متوسط |
| CVE-2019-9241 | الف-121036603 | شناسه | متوسط |
| CVE-2019-9242 | الف-121035878 | شناسه | متوسط |
| CVE-2019-9243 | الف-120905706 | شناسه | متوسط |
| CVE-2019-9244 | الف-120865977 | شناسه | متوسط |
| CVE-2019-9246 | الف-120428637 | شناسه | متوسط |
| CVE-2019-9249 | الف-120255805 | شناسه | متوسط |
| CVE-2019-9250 | الف-120276962 | شناسه | متوسط |
| CVE-2019-9251 | الف-120274615 | شناسه | متوسط |
| CVE-2019-9253 | الف-109769728 | شناسه | متوسط |
| CVE-2019-9260 | الف-113495295 | شناسه | متوسط |
| CVE-2019-9265 | الف-37994606 | شناسه | متوسط |
| CVE-2019-9272 | الف-11596047 | شناسه | متوسط |
| CVE-2019-9284 | الف-111850706 | شناسه | متوسط |
| CVE-2019-9287 | A-78287084 | شناسه | متوسط |
| CVE-2019-9289 | A-79883824 | شناسه | متوسط |
| CVE-2018-9581 | الف-111698366 | شناسه | متوسط |
| CVE-2019-9296 | الف-112162089 | شناسه | متوسط |
| CVE-2019-9312 | A-78288018 | شناسه | متوسط |
| CVE-2019-9326 | الف-111215173 | شناسه | متوسط |
| CVE-2019-9328 | A-111895000 | شناسه | متوسط |
| CVE-2019-9329 | الف-112917952 | شناسه | متوسط |
| CVE-2019-9332 | A-78286500 | شناسه | متوسط |
| CVE-2019-9333 | الف-109753657 | شناسه | متوسط |
| CVE-2019-9344 | الف-120845341 | شناسه | متوسط |
| CVE-2019-9353 | الف-123024201 | شناسه | متوسط |
| CVE-2019-9354 | الف-118148142 | شناسه | متوسط |
| CVE-2019-9355 | الف-115903122 | شناسه | متوسط |
| CVE-2019-9356 | الف-111699773 | شناسه | متوسط |
| CVE-2019-9360 | الف-120610663 | شناسه | متوسط |
| CVE-2019-9368 | الف-79883568 | شناسه | متوسط |
| CVE-2019-9369 | A-79995407 | شناسه | متوسط |
| CVE-2019-9381 | الف-122677612 | شناسه | متوسط |
| CVE-2019-9383 | الف-120843827 | شناسه | متوسط |
| CVE-2019-9387 | الف-117569833 | شناسه | متوسط |
| CVE-2019-9388 | الف-117567437 | شناسه | متوسط |
| CVE-2019-9403 | الف-113512324 | شناسه | متوسط |
| CVE-2019-9414 | الف-111893041 | شناسه | متوسط |
| CVE-2019-9427 | الف-110166350 | شناسه | متوسط |
| CVE-2019-9431 | الف-109755179 | شناسه | متوسط |
| CVE-2019-9432 | A-80546108 | شناسه | متوسط |
| CVE-2019-9434 | A-80432895 | شناسه | متوسط |
| CVE-2019-9435 | A-80146682 | شناسه | متوسط |
| CVE-2019-9330 | الف-111214739 | شناسه | متوسط |
| CVE-2019-9331 | الف-112272279 | شناسه | متوسط |
| CVE-2019-9341 | الف-111214770 | شناسه | متوسط |
| CVE-2019-9342 | الف-111214470 | شناسه | متوسط |
| CVE-2019-9343 | الف-112050983 | شناسه | متوسط |
| CVE-2019-9367 | الف-112106425 | شناسه | متوسط |
| CVE-2019-9413 | الف-111935831 | شناسه | متوسط |
| CVE-2019-9417 | الف-111450079 | شناسه | متوسط |
| CVE-2019-9419 | الف-111407544 | شناسه | متوسط |
| CVE-2019-9422 | الف-111214766 | شناسه | متوسط |
| CVE-2020-0236 | A-79703353 | شناسه | متوسط |
| CVE-2019-9279 | الف-110476382 | DoS | متوسط |
| CVE-2019-9285 | الف-111215315 | DoS | متوسط |
| CVE-2019-9286 | الف-111213909 | DoS | متوسط |
| CVE-2019-9311 | A-79431031 | DoS | متوسط |
| CVE-2019-9327 | الف-112050583 | DoS | متوسط |
| CVE-2019-9462 | الف-91544774 | DoS | متوسط |
| CVE-2019-9389 | الف-117567058 | DoS | متوسط |
| CVE-2019-9390 | الف-117551475 | DoS | متوسط |
| CVE-2019-9393 | الف-116357965 | DoS | متوسط |
| CVE-2019-9394 | الف-116351796 | DoS | متوسط |
| CVE-2019-9395 | الف-116267405 | DoS | متوسط |
| CVE-2019-9396 | الف-115747155 | DoS | متوسط |
| CVE-2019-9397 | الف-115747410 | DoS | متوسط |
| CVE-2019-9398 | الف-115745406 | DoS | متوسط |
| CVE-2019-9400 | الف-115509589 | DoS | متوسط |
| CVE-2019-9401 | الف-115375248 | DoS | متوسط |
| CVE-2019-9402 | الف-115372550 | DoS | متوسط |
| CVE-2019-9404 | الف-112923309 | DoS | متوسط |
| CVE-2019-9425 | الف-110846194 | DoS | متوسط |
| CVE-2019-9430 | الف-109838296 | DoS | متوسط |
Libxaac
کتابخانه Android 9 libxaac بهعنوان آزمایشی علامتگذاری شد و بهعنوان بخشی از بولتن امنیتی Android نوامبر 2018 از نسخههای تولیدی Android حذف شد. مایلیم از پژوهشگران به خاطر یافته هایشان قدردانی کنیم.
مشکلات شناسایی شده شامل شناسه های CVE زیر است: CVE-2019-2055، CVE-2019-2059، CVE-2019-2060، CVE-2019-2061، CVE-2019-2062، CVE-2019-2063، CVE-2069 ، CVE-2019-2065، CVE-2019-2066، CVE-2019-2067، CVE-2019-2068، CVE-2019-2069، CVE-2019-2070، CVE-2019-2071، CVE2071، CVE-2019-2071، CVE20- -2019-2073، CVE-2019-2074، CVE-2019-2075، CVE-2019-2076، CVE-2019-2077، CVE-2019-2078، CVE-2019-2079، CVE-2019-2019، CVE-2019-2019 -2081، CVE-2019-2082، CVE-2019-2083، CVE-2019-2084، CVE-2019-2085، CVE-2019-2086، CVE-2019-2087، CVE-2019-2139-2139، CVE-2019-2139، , CVE-2019-2140, CVE-2019-2141, CVE-2019-2142, CVE-2019-2143, CVE-2019-2144, CVE-2019-2145, CVE-2019-2141, CVE21, CVE-2019-2141, CVE22- -2019-2148، CVE-2019-2149، CVE-2019-2150، CVE-2019-2151، CVE-2019-2152، CVE-2019-2153، CVE-2019-2154، CVE-2019-2019، CVE-2019-2019- -2156، CVE-2019-2157، CVE-2019-2158، CVE-2019-2159، CVE-2019-2160، CVE-2019-2161، CVE-2019-2162، CVE-2019-2163، CVE-2019-2163، , CVE-2019-2165, CVE-2019-2166, CVE-2019-2167, CVE-2019-2168, CVE-2019-2169, CVE-2019-2170, CVE-2019-2171, CVE21, CVE-2019-2171, CVE21- -2019-9261، CVE-2019-9264، CVE-2019-9385، و CVE-2019-9391.
پرسش و پاسخ متداول
این بخش به سوالات متداولی که ممکن است پس از خواندن این بولتن رخ دهد پاسخ می دهد.
1. چگونه تشخیص دهم که آیا دستگاه من برای رفع این مشکلات به روز شده است؟
برای آشنایی با نحوه بررسی سطح وصله امنیتی دستگاه، به بررسی و بهروزرسانی نسخه Android خود مراجعه کنید.
اندروید 10، همانطور که در AOSP منتشر شد، دارای وصله امنیتی پیشفرض 01-09-2019 است. دستگاههای اندرویدی دارای Android 10 و دارای وصله امنیتی 2019-09-01 یا جدیدتر، همه مشکلات موجود در این یادداشتهای انتشار امنیتی را برطرف میکنند.
2. ورودی های ستون Type به چه معناست؟
ورودی های ستون نوع جدول جزئیات آسیب پذیری به طبقه بندی آسیب پذیری امنیتی اشاره دارد.
| مخفف | تعریف |
|---|---|
| RCE | اجرای کد از راه دور |
| EoP | بالا بردن امتیاز |
| شناسه | افشای اطلاعات |
| DoS | انکار خدمات |
| N/A | طبقه بندی در دسترس نیست |
3. ورودی های ستون References به چه معناست؟
ورودیهای زیر ستون مراجع جدول جزئیات آسیبپذیری ممکن است حاوی پیشوندی باشد که سازمانی را که مقدار مرجع به آن تعلق دارد، مشخص میکند.
| پیشوند | مرجع |
|---|---|
| الف- | شناسه باگ اندروید |
نسخه ها
| نسخه | تاریخ | یادداشت ها |
|---|---|---|
| 1.0 | 20 آگوست 2019 | یادداشت های امنیتی منتشر شد. |
| 1.1 | 21 آگوست 2019 | تنظیمات جزئی در جداول آسیب پذیری |
| 1.2 | 17 سپتامبر 2019 | قدردانی ها و لیست مسائل به روز شد |
| 1.3 | 21 نوامبر 2019 | لیست مسائل به روز شد |
| 1.4 | 12 فوریه 2020 | لیست مسائل به روز شد |
| 1.5 | 26 فوریه 2020 | لیست مسائل به روز شد |
| 1.6 | 11 مه 2020 | لیست مسائل به روز شد |
| 1.7 | 11 ژوئن 2020 | لیست مسائل به روز شد |
| 1.8 | 27 ژانویه 2021 | لیست مسائل به روز شد |