Publicado em 20 de agosto de 2019 | Atualizado em 27 de janeiro de 2021
Estas notas de lançamento de segurança do Android contêm detalhes sobre vulnerabilidades de segurança que afetam dispositivos Android e que são abordadas como parte do Android 10. Os dispositivos Android 10 com um nível de patch de segurança de 01/09/2019 ou mais recente estão protegidos contra esses problemas (o Android 10, conforme lançado no AOSP, tem um nível de patch de segurança padrão de 01/09/2019). Para saber como verificar o nível do patch de segurança de um dispositivo, consulte Como verificar e atualizar sua versão do Android.
Os parceiros do Android são notificados sobre todos os problemas antes da publicação. Os patches de código-fonte para esses problemas foram lançados no repositório do Android Open Source Project (AOSP) como parte da versão do Android 10.
A avaliação de gravidade dos problemas nas notas da versão é baseada no efeito que a exploração da vulnerabilidade teria em um dispositivo afetado, supondo que as mitigações de plataforma e serviço estejam desativadas para fins de desenvolvimento ou se forem contornadas.
Não tivemos relatos de exploração ou abuso ativo de clientes desses problemas recém-informados. Consulte a seção Mitigações do Android e do Google Play Protect para saber mais sobre as proteções da plataforma de segurança do Android e o Google Play Protect, que melhoram a segurança da plataforma Android.
Anúncios
- Os problemas descritos neste documento são resolvidos como parte do Android 10. Essas informações são fornecidas para referência e transparência.
- Gostaríamos de reconhecer e agradecer a comunidade de pesquisa de segurança por suas contribuições contínuas para proteger o ecossistema Android.
Mitigações do Android e do Google
Este é um resumo das mitigações fornecidas pela plataforma de segurança do Android e proteções de serviço, como o Google Play Protect. Esses recursos reduzem a probabilidade de que vulnerabilidades de segurança sejam exploradas com sucesso no Android.
- A exploração de muitos problemas no Android ficou mais difícil devido às melhorias nas versões mais recentes da plataforma. Recomendamos que todos os usuários atualizem para a versão mais recente do Android, sempre que possível.
- A equipe de segurança do Android monitora ativamente o abuso com o Google Play Protect e alerta os usuários sobre apps potencialmente nocivos. O Google Play Protect é ativado por padrão em dispositivos com os Serviços do Google Mobile e é especialmente importante para usuários que instalam apps de fora do Google Play.
Android 10: detalhes da vulnerabilidade
As seções abaixo fornecem detalhes sobre as vulnerabilidades de segurança corrigidas como parte do Android 10. As vulnerabilidades são agrupadas pelo componente afetado e incluem detalhes como CVE, referências associadas, tipo de vulnerabilidade e gravidade.
Ambiente de execução do Android
| CVE | Referências | Tipo | Gravidade |
|---|---|---|---|
| CVE-2019-9290 | A-113039724 | Fim do dia | Moderada |
| CVE-2019-9429 | A-110035108 | EoP | Moderada |
Framework
| CVE | Referências | Tipo | Gravidade |
|---|---|---|---|
| CVE-2019-9262 | A-111792351 | RCE | Moderada |
| CVE-2019-9256 | A-111921829 | RCE | Moderada |
| CVE-2019-9280 (em inglês) | A-119322269 | Fim do dia | Moderada |
| CVE-2019-2216 | A-38390530 | Fim do dia | Moderada |
| CVE-2019-2089 | A-116608833 | Fim do dia | Moderada |
| CVE-2019-9288 | A-111363077 | EoP | Moderada |
| CVE-2019-9384 | A-120568007 | Fim do dia | Moderada |
| CVE-2019-9269 | A-36899497 | EoP | Moderada |
| CVE-2019-9378 | A-124539196 | EoP | Moderada |
| CVE-2019-9380 | A-123700098 | EoP | Moderada |
| CVE-2019-9407 | A-112434609 | Fim do dia | Moderada |
| CVE-2019-2088 | A-143895055 | ID | Moderada |
| CVE-2019-2058 | A-136089102 | ID | Moderada |
| CVE-2019-9351 | A-128599864 | ID | Moderada |
| CVE-2019-9281 | A-32748076 | ID | Moderada |
| CVE-2019-9377 | A-128599663 | ID | Moderada |
| CVE-2019-9292 | A-115384617 | ID | Moderada |
| CVE-2019-9424 | A-110941092 | ID | Moderada |
| CVE-2019-9399 | A-115635664 | ID | Moderada |
| CVE-2019-9421 | A-111215250 | ID | Moderada |
| CVE-2019-9323 | A-30770233 | ID | Moderada |
| CVE-2019-9438 | A-77821568 | ID | Moderada |
| CVE-2019-9373 | A-130173029 | DoS (DoS) | Moderada |
| CVE-2019-9372 | A-132782448 | DoS (DoS) | Moderada |
Biblioteca
| CVE | Referências | Tipo | Gravidade |
|---|---|---|---|
| CVE-2019-9423 | A-110986616 | Fim do dia | Moderada |
| CVE-2019-9459 | A-79593569 | EoP | Moderada |
Framework de mídia
| CVE | Referências | Tipo | Gravidade |
|---|---|---|---|
| CVE-2019-9297 | A-112890242 | RCE | Moderada |
| CVE-2019-9298 | A-112892194 | RCE | Moderada |
| CVE-2019-9299 | A-112663886 | RCE | Moderada |
| CVE-2019-9300 | A-112661610 | RCE | Moderada |
| CVE-2019-9301 | A-112663384 | RCE | Moderada |
| CVE-2019-9302 | A-112661356 | RCE | Moderada |
| CVE-2019-9303 | A-112661057 | RCE | Moderada |
| CVE-2019-9304 | A-112662270 | RCE | Moderada |
| CVE-2019-9305 | A-112661835 | RCE | Moderada |
| CVE-2019-9306 | A-112661348 | RCE | Moderada |
| CVE-2019-9307 | A-112661893 | RCE | Moderada |
| CVE-2019-9308 | A-112661742 | RCE | Moderada |
| CVE-2019-9346 | A-128433933 | RCE | Moderada |
| CVE-2019-9357 | A-112662995 | RCE | Moderada |
| CVE-2019-9382 | A-120874654 | RCE | Moderada |
| CVE-2019-9405 | A-112890225 | RCE | Moderada |
| CVE-2019-9278 | A-112537774 | RCE | Moderada |
| CVE-2020-0086 | A-131859347 | EoP | Moderada |
| CVE-2019-9310 | A-112891546 | EoP | Moderada |
| CVE-2019-9232 | A-122675483 | ID | Moderada |
| CVE-2019-9247 | A-120426166 | ID | Moderada |
| CVE-2019-9282 | A-113211371 | ID | Moderada |
| CVE-2019-9293 | A-117661116 | ID | Moderada |
| CVE-2019-9294 | A-111764444 | ID | Moderada |
| CVE-2019-9313 | A-112005441 | ID | Moderada |
| CVE-2019-9314 | A-112329563 | ID | Moderada |
| CVE-2019-9315 | A-112326216 | ID | Moderada |
| CVE-2019-9316 | A-112052432 | ID | Moderada |
| CVE-2019-9317 | A-112052258 | ID | Moderada |
| CVE-2019-9318 | A-111764725 | ID | Moderada |
| CVE-2019-9319 | A-111762100 | ID | Moderada |
| CVE-2019-9320 | A-111761624 | ID | Moderada |
| CVE-2019-9321 | A-111208713 | ID | Moderada |
| CVE-2019-9322 (em inglês) | A-111128067 | ID | Moderada |
| CVE-2019-9325 | A-112001302 | ID | Moderada |
| CVE-2019-9334 | A-112859934 | ID | Moderada |
| CVE-2019-9335 | A-112328051 | ID | Moderada |
| CVE-2019-9336 | A-112326322 | ID | Moderada |
| CVE-2019-9337 | A-112204376 | ID | Moderada |
| CVE-2019-9338 | A-111762686 | ID | Moderada |
| CVE-2019-9347 | A-109891727 | ID | Moderada |
| CVE-2019-9359 | A-111407302 | ID | Moderada |
| CVE-2019-9361 | A-111762807 | ID | Moderada |
| CVE-2019-9362 | A-120426980 | ID | Moderada |
| CVE-2019-9364 | A-73364631 | ID | Moderada |
| CVE-2019-9366 | A-112052062 | ID | Moderada |
| CVE-2019-9370 | A-133880046 | ID | Moderada |
| CVE-2019-9406 | A-112552517 | ID | Moderada |
| CVE-2019-9408 | A-112380157 | ID | Moderada |
| CVE-2019-9409 | A-112272091 | ID | Moderada |
| CVE-2019-9410 | A-112204443 | ID | Moderada |
| CVE-2019-9411 | A-112204845 | ID | Moderada |
| CVE-2019-9412 | A-112006096 | ID | Moderada |
| CVE-2019-9415 | A-111805098 | ID | Moderada |
| CVE-2019-9416 | A-111804142 | ID | Moderada |
| CVE-2019-9433 | A-80479354 | ID | Moderada |
| CVE-2019-9252 | A-73339042 | ID | Moderada |
| CVE-2019-9268 | A-77474014 | DoS | Moderada |
| CVE-2020-0088 | A-124389881 | DoS | Moderada |
| CVE-2019-9283 | A-112663564 | DoS | Moderada |
| CVE-2019-9348 | A-128431761 | DoS | Moderada |
| CVE-2019-9349 | A-124330204 | DoS | Moderada |
| CVE-2019-9352 | A-124253062 | DoS | Moderada |
| CVE-2019-9371 | A-132783254 | DoS | Moderada |
| CVE-2019-9379 | A-124329638 | DoS | Moderada |
| CVE-2019-9418 | A-111450210 | DoS | Moderada |
| CVE-2019-9420 | A-111272481 | DoS | Moderada |
Sistema
| CVE | Referências | Tipo | Gravidade |
|---|---|---|---|
| CVE-2019-9475 | A-9496886 | ID | Alta |
| CVE-2019-9363 | A-123584306 | RCE | Moderada |
| CVE-2019-9365 | A-109838537 | RCE | Moderada |
| CVE-2018-9425 | A-73884967 | EoP | Moderada |
| CVE-2019-9463 | A-113584607 | EoP | Moderada |
| CVE-2019-9291 | A-112159179 | Fim do dia | Moderada |
| CVE-2019-9386 | A-122361874 | Fim do dia | Moderada |
| CVE-2019-9375 | A-129344244 | EoP | Moderada |
| CVE-2019-9238 | A-121267042 | Fim do dia | Moderada |
| CVE-2019-9257 | A-113572342 | EoP | Moderada |
| CVE-2019-9258 | A-113655028 | EoP | Moderada |
| CVE-2019-9259 | A-113575306 | Fim do dia | Moderada |
| CVE-2019-9263 | A-73136824 | EoP | Moderada |
| CVE-2019-9266 | A-119501435 | EoP | Moderada |
| CVE-2019-9295 | A-36885811 | EoP | Moderada |
| CVE-2019-9309 | A-117985575 | EoP | Moderada |
| CVE-2019-9350 | A-129562815 | Fim do dia | Moderada |
| CVE-2019-9358 | A-120156401 | Fim do dia | Moderada |
| CVE-2018-9489 | A-77286245 | ID | Moderada |
| CVE-2019-9473 | A-115363533 | ID | Moderada |
| CVE-2019-9474 | A-79996267 | ID | Moderada |
| CVE-2019-9440 (em inglês) | A-37637796 | ID | Moderada |
| CVE-2019-9277 | A-68016944 | ID | Moderada |
| CVE-2019-9233 | A-122529021 | ID | Moderada |
| CVE-2019-9234 | A-122465453 | ID | Moderada |
| CVE-2019-9235 | A-122323053 | ID | Moderada |
| CVE-2019-9236 | A-122322613 | ID | Moderada |
| CVE-2019-9237 | A-121325979 | ID | Moderada |
| CVE-2019-9239 | A-121263487 | ID | Moderada |
| CVE-2019-9240 | A-121150966 | ID | Moderada |
| CVE-2019-9241 | A-121036603 | ID | Moderada |
| CVE-2019-9242 | A-121035878 | ID | Moderada |
| CVE-2019-9243 | A-120905706 | ID | Moderada |
| CVE-2019-9244 | A-120865977 | ID | Moderada |
| CVE-2019-9246 | A-120428637 | ID | Moderada |
| CVE-2019-9249 | A-120255805 | ID | Moderada |
| CVE-2019-9250 | A-120276962 | ID | Moderada |
| CVE-2019-9251 | A-120274615 | ID | Moderada |
| CVE-2019-9253 | A-109769728 | ID | Moderada |
| CVE-2019-9260 | A-113495295 | ID | Moderada |
| CVE-2019-9265 | A-37994606 | ID | Moderada |
| CVE-2019-9272 | A-11596047 | ID | Moderada |
| CVE-2019-9284 | A-111850706 | ID | Moderada |
| CVE-2019-9287 | A-78287084 | ID | Moderada |
| CVE-2019-9289 | A-79883824 | ID | Moderada |
| CVE-2018-9581 | A-111698366 | ID | Moderada |
| CVE-2019-9296 | A-112162089 | ID | Moderada |
| CVE-2019-9312 | A-78288018 | ID | Moderada |
| CVE-2019-9326 | A-111215173 | ID | Moderada |
| CVE-2019-9328 | A-111895000 | ID | Moderada |
| CVE-2019-9329 | A-112917952 | ID | Moderada |
| CVE-2019-9332 | A-78286500 | ID | Moderada |
| CVE-2019-9333 | A-109753657 | ID | Moderada |
| CVE-2019-9344 | A-120845341 | ID | Moderada |
| CVE-2019-9353 | A-123024201 | ID | Moderada |
| CVE-2019-9354 | A-118148142 | ID | Moderada |
| CVE-2019-9355 | A-115903122 | ID | Moderada |
| CVE-2019-9356 | A-111699773 | ID | Moderada |
| CVE-2019-9360 | A-120610663 | ID | Moderada |
| CVE-2019-9368 | A-79883568 | ID | Moderada |
| CVE-2019-9369 | A-79995407 | ID | Moderada |
| CVE-2019-9381 | A-122677612 | ID | Moderada |
| CVE-2019-9383 | A-120843827 | ID | Moderada |
| CVE-2019-9387 | A-117569833 | ID | Moderada |
| CVE-2019-9388 | A-117567437 | ID | Moderada |
| CVE-2019-9403 | A-113512324 | ID | Moderada |
| CVE-2019-9414 | A-111893041 | ID | Moderada |
| CVE-2019-9427 | A-110166350 | ID | Moderada |
| CVE-2019-9431 | A-109755179 | ID | Moderada |
| CVE-2019-9432 | A-80546108 | ID | Moderada |
| CVE-2019-9434 | A-80432895 | ID | Moderada |
| CVE-2019-9435 | A-80146682 | ID | Moderada |
| CVE-2019-9330 | A-111214739 | ID | Moderada |
| CVE-2019-9331 | A-112272279 | ID | Moderada |
| CVE-2019-9341 | A-111214770 | ID | Moderada |
| CVE-2019-9342 | A-111214470 | ID | Moderada |
| CVE-2019-9343 | A-112050983 | ID | Moderada |
| CVE-2019-9367 | A-112106425 | ID | Moderada |
| CVE-2019-9413 | A-111935831 | ID | Moderada |
| CVE-2019-9417 | A-111450079 | ID | Moderada |
| CVE-2019-9419 | A-111407544 | ID | Moderada |
| CVE-2019-9422 | A-111214766 | ID | Moderada |
| CVE-2020-0236 | A-79703353 | ID | Moderada |
| CVE-2019-9279 | A-110476382 | DoS | Moderada |
| CVE-2019-9285 | A-111215315 | DoS (DoS) | Moderada |
| CVE-2019-9286 | A-111213909 | DoS | Moderada |
| CVE-2019-9311 | A-79431031 | DoS | Moderada |
| CVE-2019-9327 | A-112050583 | DoS | Moderada |
| CVE-2019-9462 | A-91544774 | DoS | Moderada |
| CVE-2019-9389 | A-117567058 | DoS | Moderada |
| CVE-2019-9390 | A-117551475 | DoS | Moderada |
| CVE-2019-9393 | A-116357965 | DoS (DoS) | Moderada |
| CVE-2019-9394 | A-116351796 | DoS | Moderada |
| CVE-2019-9395 | A-116267405 | DoS | Moderada |
| CVE-2019-9396 | A-115747155 | DoS (DoS) | Moderada |
| CVE-2019-9397 | A-115747410 | DoS | Moderada |
| CVE-2019-9398 | A-115745406 | DoS | Moderada |
| CVE-2019-9400 | A-115509589 | DoS (DoS) | Moderada |
| CVE-2019-9401 | A-115375248 | DoS (DoS) | Moderada |
| CVE-2019-9402 | A-115372550 | DoS (DoS) | Moderada |
| CVE-2019-9404 | A-112923309 | DoS | Moderada |
| CVE-2019-9425 | A-110846194 | DoS | Moderada |
| CVE-2019-9430 | A-109838296 | DoS | Moderada |
Libxaac
A biblioteca libxaac do Android 9 foi marcada como experimental e removida dos builds de produção do Android como parte do Boletim de segurança do Android de novembro de 2018. Gostaríamos de reconhecer os pesquisadores pelas descobertas deles.
Os problemas identificados incluem os seguintes IDs de CVE: CVE-2019-2055, CVE-2019-2059, CVE-2019-2060, CVE-2019-2061, CVE-2019-2062, CVE-2019-2063, CVE-2019-2064, CVE-2019-2065, CVE-2019-2066, CVE-2019-2067, CVE-2019-2068, CVE-2019-2069, CVE-2019-2070, CVE-2019-2071, CVE-2019-2072, CVE-2019-2073, CVE-2019-2074, CVE-2019-2075, CVE-2019-2076, CVE-2019-2077, CVE-2019-2078, CVE-2019-2079, CVE-2019-2080, CVE-2019-2081, CVE-2019-2082, CVE-2019-2083, CVE-2019-2084, CVE-2019-2085, CVE-2019-2086, CVE-2019-2087, CVE-2019-2138, CVE-2019-2139, CVE-2019-2140, CVE-2019-2141, CVE-2019-2142, CVE-2019-2143, CVE-2019-2144, CVE-2019-2145, CVE-2019-2146, CVE-2019-2147, CVE-2019-2148, CVE-2019-2149, CVE-2019-2150, CVE-2019-2151, CVE-2019-2152, CVE-2019-2153, CVE-2019-2154, CVE-2019-2155, CVE-2019-2156, CVE-2019-2157, CVE-2019-2158, CVE-2019-2159, CVE-2019-2160, CVE-2019-2161, CVE-2019-2162, CVE-2019-2163, CVE-2019-2164, CVE-2019-2165, CVE-2019-2166, CVE-2019-2167, CVE-2019-2168, CVE-2019-2169, CVE-2019-2170, CVE-2019-2171, CVE-2019-2172, CVE-2019-9261, CVE-2019-9264, CVE-2019-9385 e CVE-2019-9391.
Perguntas e respostas comuns
Esta seção responde a perguntas comuns que podem surgir após a leitura deste boletim.
1. Como determino se meu dispositivo está atualizado para resolver esses problemas?
Para saber como verificar o nível do patch de segurança de um dispositivo, consulte Verificar e atualizar a versão do Android.
O Android 10, conforme lançado no AOSP, tem o nível de patch de segurança padrão 01/09/2019. Dispositivos Android com o Android 10 e um nível de patch de segurança de 01/09/2019 ou mais recente resolvem todos os problemas contidos nestas notas de lançamento de segurança.
2. O que significam as entradas na coluna Tipo?
As entradas na coluna Tipo da tabela de detalhes da vulnerabilidade
fazem referência à classificação da vulnerabilidade de segurança.
| Abreviatura | Definição |
|---|---|
| RCE | Execução remota de código |
| EoP | Elevação de privilégio |
| ID | Divulgação de informações |
| DoS | Negação de serviço |
| N/A | Classificação indisponível |
3. O que significam as entradas na coluna Referências?
As entradas na coluna References da tabela de detalhes da vulnerabilidade podem conter um prefixo que identifica a organização à qual o valor de referência pertence.
| Prefixo | Referência |
|---|---|
| A- | ID do bug do Android |
Versões
| Versão | Data | Observações |
|---|---|---|
| 1.0 | 20 de agosto de 2019 | As notas da versão de segurança foram publicadas. |
| 1.1 | 21 de agosto de 2019 | Pequenos ajustes nas tabelas de vulnerabilidade |
| 1.2 | 17 de setembro de 2019 | Lista de problemas e confirmações atualizadas |
| 1.3 | 21 de novembro de 2019 | Lista de problemas atualizada |
| 1.4 | 12 de fevereiro de 2020 | Lista de problemas atualizada |
| 1.5 | 26 de fevereiro de 2020 | Lista de problemas atualizada |
| 1.6 | 11 de maio de 2020 | Lista de problemas atualizada |
| 1.7 | 11 de junho de 2020 | Lista de problemas atualizada |
| 1.8 | 27 de janeiro de 2021 | Lista de problemas atualizada |