Xuất bản ngày 20 tháng 8 năm 2019 | Cập nhật ngày 27 tháng 1 năm 2021
Bản ghi chú phát hành về bảo mật Android này chứa thông tin chi tiết về các lỗ hổng bảo mật ảnh hưởng đến thiết bị Android và được giải quyết trong Android 10. Các thiết bị Android 10 có cấp bản vá bảo mật từ ngày 1 tháng 9 năm 2019 trở lên sẽ được bảo vệ khỏi các vấn đề này (Android 10, như được phát hành trên AOSP, có cấp bản vá bảo mật mặc định là ngày 1 tháng 9 năm 2019). Để tìm hiểu cách kiểm tra cấp bản vá bảo mật của thiết bị, hãy xem bài viết Cách kiểm tra và cập nhật phiên bản Android.
Các đối tác Android sẽ được thông báo về mọi vấn đề trước khi phát hành. Bản vá mã nguồn cho các vấn đề này được phát hành cho kho lưu trữ Dự án nguồn mở Android (AOSP) trong bản phát hành Android 10.
Mức độ đánh giá nghiêm trọng của các vấn đề trong ghi chú phát hành này dựa trên tác động mà việc khai thác lỗ hổng có thể gây ra cho một thiết bị bị ảnh hưởng, giả sử các biện pháp giảm thiểu nền tảng và dịch vụ bị tắt cho mục đích phát triển hoặc nếu bị bỏ qua thành công.
Chúng tôi chưa nhận được báo cáo nào về việc khách hàng đang lợi dụng hoặc lạm dụng các vấn đề mới được báo cáo này. Hãy tham khảo phần Biện pháp giảm thiểu của Android và Google Play Protect để biết thông tin chi tiết về các biện pháp bảo vệ nền tảng bảo mật của Android và Google Play Protect, giúp cải thiện tính bảo mật của nền tảng Android.
Thông báo
- Các vấn đề mô tả trong tài liệu này được đề cập trong Android 10. Thông tin này được cung cấp để tham khảo và minh bạch.
- Chúng tôi xin cảm ơn và ghi nhận những đóng góp không ngừng của cộng đồng nghiên cứu bảo mật đối với việc bảo mật hệ sinh thái Android.
Các biện pháp giảm thiểu dịch vụ của Android và Google
Đây là bản tóm tắt các biện pháp giảm thiểu do nền tảng bảo mật Android cung cấp và các biện pháp bảo vệ dịch vụ như Google Play Protect. Những tính năng này giúp giảm khả năng các lỗ hổng bảo mật có thể được khai thác thành công trên Android.
- Việc khai thác nhiều vấn đề trên Android trở nên khó khăn hơn do các tính năng nâng cao trong các phiên bản mới hơn của nền tảng Android. Tất cả người dùng nên cập nhật lên phiên bản Android mới nhất nếu có thể.
- Nhóm bảo mật của Android chủ động theo dõi hành vi sai trái thông qua Google Play Protect và cảnh báo người dùng về Ứng dụng có khả năng gây hại. Google Play Protect được bật theo mặc định trên các thiết bị có Các dịch vụ của Google dành cho thiết bị di động và đặc biệt quan trọng đối với những người dùng cài đặt ứng dụng từ bên ngoài Google Play.
Android 10 – Thông tin chi tiết về lỗ hổng
Các phần dưới đây cung cấp thông tin chi tiết về các lỗ hổng bảo mật đã được khắc phục trong Android 10. Các lỗ hổng được nhóm theo thành phần mà chúng ảnh hưởng và bao gồm các thông tin chi tiết như CVE, tài liệu tham khảo liên quan, loại lỗ hổng và mức độ nghiêm trọng.
Môi trường thời gian chạy Android
| CVE | Tài liệu tham khảo | Loại | Mức độ nghiêm trọng |
|---|---|---|---|
| CVE-2019-9290 | A-113039724 | EoP | Trung bình |
| CVE-2019-9429 | A-110035108 | EoP | Trung bình |
Khung
| CVE | Tài liệu tham khảo | Loại | Mức độ nghiêm trọng |
|---|---|---|---|
| CVE-2019-9262 | A-111792351 | RCE | Trung bình |
| CVE-2019-9256 | A-111921829 | RCE | Trung bình |
| CVE-2019-9280 | A-119322269 | EoP | Trung bình |
| CVE-2019-2216 | A-38390530 | EoP | Trung bình |
| CVE-2019-2089 | A-116608833 | EoP | Trung bình |
| CVE-2019-9288 | A-111363077 | EoP | Trung bình |
| CVE-2019-9384 | A-120568007 | EoP | Trung bình |
| CVE-2019-9269 | A-36899497 | EoP | Trung bình |
| CVE-2019-9378 | A-124539196 | EoP | Trung bình |
| CVE-2019-9380 | A-123700098 | EoP | Trung bình |
| CVE-2019-9407 | A-112434609 | EoP | Trung bình |
| CVE-2019-2088 | A-143895055 | ID | Trung bình |
| CVE-2019-2058 | A-136089102 | ID | Trung bình |
| CVE-2019-9351 | A-128599864 | ID | Trung bình |
| CVE-2019-9281 | A-32748076 | ID | Trung bình |
| CVE-2019-9377 | A-128599663 | ID | Trung bình |
| CVE-2019-9292 | A-115384617 | ID | Trung bình |
| CVE-2019-9424 | A-110941092 | ID | Trung bình |
| CVE-2019-9399 | A-115635664 | ID | Trung bình |
| CVE-2019-9421 | A-111215250 | ID | Trung bình |
| CVE-2019-9323 | A-30770233 | ID | Trung bình |
| CVE-2019-9438 | A-77821568 | ID | Trung bình |
| CVE-2019-9373 | A-130173029 | Yêu cầu | Trung bình |
| CVE-2019-9372 | A-132782448 | Yêu cầu | Trung bình |
Thư viện
| CVE | Tài liệu tham khảo | Loại | Mức độ nghiêm trọng |
|---|---|---|---|
| CVE-2019-9423 | A-110986616 | EoP | Trung bình |
| CVE-2019-9459 | A-79593569 | EoP | Trung bình |
Khung nội dung đa phương tiện
| CVE | Tài liệu tham khảo | Loại | Mức độ nghiêm trọng |
|---|---|---|---|
| CVE-2019-9297 | A-112890242 | RCE | Trung bình |
| CVE-2019-9298 | A-112892194 | RCE | Trung bình |
| CVE-2019-9299 | A-112663886 | RCE | Trung bình |
| CVE-2019-9300 | A-112661610 | RCE | Trung bình |
| CVE-2019-9301 | A-112663384 | RCE | Trung bình |
| CVE-2019-9302 | A-112661356 | RCE | Trung bình |
| CVE-2019-9303 | A-112661057 | RCE | Trung bình |
| CVE-2019-9304 | A-112662270 | RCE | Trung bình |
| CVE-2019-9305 | A-112661835 | RCE | Trung bình |
| CVE-2019-9306 | A-112661348 | RCE | Trung bình |
| CVE-2019-9307 | A-112661893 | RCE | Trung bình |
| CVE-2019-9308 | A-112661742 | RCE | Trung bình |
| CVE-2019-9346 | A-128433933 | RCE | Trung bình |
| CVE-2019-9357 | A-112662995 | RCE | Trung bình |
| CVE-2019-9382 | A-120874654 | RCE | Trung bình |
| CVE-2019-9405 | A-112890225 | RCE | Trung bình |
| CVE-2019-9278 | A-112537774 | RCE | Trung bình |
| CVE-2020-0086 | A-131859347 | EoP | Trung bình |
| CVE-2019-9310 | A-112891546 | EoP | Trung bình |
| CVE-2019-9232 | A-122675483 | ID | Trung bình |
| CVE-2019-9247 | A-120426166 | ID | Trung bình |
| CVE-2019-9282 | A-113211371 | ID | Trung bình |
| CVE-2019-9293 | A-117661116 | ID | Trung bình |
| CVE-2019-9294 | A-111764444 | ID | Trung bình |
| CVE-2019-9313 | A-112005441 | ID | Trung bình |
| CVE-2019-9314 | A-112329563 | ID | Trung bình |
| CVE-2019-9315 | A-112326216 | ID | Trung bình |
| CVE-2019-9316 | A-112052432 | ID | Trung bình |
| CVE-2019-9317 | A-112052258 | ID | Trung bình |
| CVE-2019-9318 | A-111764725 | ID | Trung bình |
| CVE-2019-9319 | A-111762100 | ID | Trung bình |
| CVE-2019-9320 | A-111761624 | ID | Trung bình |
| CVE-2019-9321 | A-111208713 | ID | Trung bình |
| CVE-2019-9322 | A-111128067 | ID | Trung bình |
| CVE-2019-9325 | A-112001302 | ID | Trung bình |
| CVE-2019-9334 | A-112859934 | ID | Trung bình |
| CVE-2019-9335 | A-112328051 | ID | Trung bình |
| CVE-2019-9336 | A-112326322 | ID | Trung bình |
| CVE-2019-9337 | A-112204376 | ID | Trung bình |
| CVE-2019-9338 | A-111762686 | ID | Trung bình |
| CVE-2019-9347 | A-109891727 | ID | Trung bình |
| CVE-2019-9359 | A-111407302 | ID | Trung bình |
| CVE-2019-9361 | A-111762807 | ID | Trung bình |
| CVE-2019-9362 | A-120426980 | ID | Trung bình |
| CVE-2019-9364 | A-73364631 | ID | Trung bình |
| CVE-2019-9366 | A-112052062 | ID | Trung bình |
| CVE-2019-9370 | A-133880046 | ID | Trung bình |
| CVE-2019-9406 | A-112552517 | ID | Trung bình |
| CVE-2019-9408 | A-112380157 | ID | Trung bình |
| CVE-2019-9409 | A-112272091 | ID | Trung bình |
| CVE-2019-9410 | A-112204443 | ID | Trung bình |
| CVE-2019-9411 | A-112204845 | ID | Trung bình |
| CVE-2019-9412 | A-112006096 | ID | Trung bình |
| CVE-2019-9415 | A-111805098 | ID | Trung bình |
| CVE-2019-9416 | A-111804142 | ID | Trung bình |
| CVE-2019-9433 | A-80479354 | ID | Trung bình |
| CVE-2019-9252 | A-73339042 | ID | Trung bình |
| CVE-2019-9268 | A-77474014 | Yêu cầu | Trung bình |
| CVE-2020-0088 | A-124389881 | Yêu cầu | Trung bình |
| CVE-2019-9283 | A-112663564 | Yêu cầu | Trung bình |
| CVE-2019-9348 | A-128431761 | Yêu cầu | Trung bình |
| CVE-2019-9349 | A-124330204 | Yêu cầu | Trung bình |
| CVE-2019-9352 | A-124253062 | Yêu cầu | Trung bình |
| CVE-2019-9371 | A-132783254 | Yêu cầu | Trung bình |
| CVE-2019-9379 | A-124329638 | Yêu cầu | Trung bình |
| CVE-2019-9418 | A-111450210 | Yêu cầu | Trung bình |
| CVE-2019-9420 | A-111272481 | Yêu cầu | Trung bình |
Hệ thống
| CVE | Tài liệu tham khảo | Loại | Mức độ nghiêm trọng |
|---|---|---|---|
| CVE-2019-9475 | A-9496886 | ID | Cao |
| CVE-2019-9363 | A-123584306 | RCE | Trung bình |
| CVE-2019-9365 | A-109838537 | RCE | Trung bình |
| CVE-2018-9425 | A-73884967 | EoP | Trung bình |
| CVE-2019-9463 | A-113584607 | EoP | Trung bình |
| CVE-2019-9291 | A-112159179 | EoP | Trung bình |
| CVE-2019-9386 | A-122361874 | EoP | Trung bình |
| CVE-2019-9375 | A-129344244 | EoP | Trung bình |
| CVE-2019-9238 | A-121267042 | EoP | Trung bình |
| CVE-2019-9257 | A-113572342 | EoP | Trung bình |
| CVE-2019-9258 | A-113655028 | EoP | Trung bình |
| CVE-2019-9259 | A-113575306 | EoP | Trung bình |
| CVE-2019-9263 | A-73136824 | EoP | Trung bình |
| CVE-2019-9266 | A-119501435 | EoP | Trung bình |
| CVE-2019-9295 | A-36885811 | EoP | Trung bình |
| CVE-2019-9309 | A-117985575 | EoP | Trung bình |
| CVE-2019-9350 | A-129562815 | EoP | Trung bình |
| CVE-2019-9358 | A-120156401 | EoP | Trung bình |
| CVE-2018-9489 | A-77286245 | ID | Trung bình |
| CVE-2019-9473 | A-115363533 | ID | Trung bình |
| CVE-2019-9474 | A-79996267 | ID | Trung bình |
| CVE-2019-9440 | A-37637796 | ID | Trung bình |
| CVE-2019-9277 | A-68016944 | ID | Trung bình |
| CVE-2019-9233 | A-122529021 | ID | Trung bình |
| CVE-2019-9234 | A-122465453 | ID | Trung bình |
| CVE-2019-9235 | A-122323053 | ID | Trung bình |
| CVE-2019-9236 | A-122322613 | ID | Trung bình |
| CVE-2019-9237 | A-121325979 | ID | Trung bình |
| CVE-2019-9239 | A-121263487 | ID | Trung bình |
| CVE-2019-9240 | A-121150966 | ID | Trung bình |
| CVE-2019-9241 | A-121036603 | ID | Trung bình |
| CVE-2019-9242 | A-121035878 | ID | Trung bình |
| CVE-2019-9243 | A-120905706 | ID | Trung bình |
| CVE-2019-9244 | A-120865977 | ID | Trung bình |
| CVE-2019-9246 | A-120428637 | ID | Trung bình |
| CVE-2019-9249 | A-120255805 | ID | Trung bình |
| CVE-2019-9250 | A-120276962 | ID | Trung bình |
| CVE-2019-9251 | A-120274615 | ID | Trung bình |
| CVE-2019-9253 | A-109769728 | ID | Trung bình |
| CVE-2019-9260 | A-113495295 | ID | Trung bình |
| CVE-2019-9265 | A-37994606 | ID | Trung bình |
| CVE-2019-9272 | A-11596047 | ID | Trung bình |
| CVE-2019-9284 | A-111850706 | ID | Trung bình |
| CVE-2019-9287 | A-78287084 | ID | Trung bình |
| CVE-2019-9289 | A-79883824 | ID | Trung bình |
| CVE-2018-9581 | A-111698366 | ID | Trung bình |
| CVE-2019-9296 | A-112162089 | ID | Trung bình |
| CVE-2019-9312 | A-78288018 | ID | Trung bình |
| CVE-2019-9326 | A-111215173 | ID | Trung bình |
| CVE-2019-9328 | A-111895000 | ID | Trung bình |
| CVE-2019-9329 | A-112917952 | ID | Trung bình |
| CVE-2019-9332 | A-78286500 | ID | Trung bình |
| CVE-2019-9333 | A-109753657 | ID | Trung bình |
| CVE-2019-9344 | A-120845341 | ID | Trung bình |
| CVE-2019-9353 | A-123024201 | ID | Trung bình |
| CVE-2019-9354 | A-118148142 | ID | Trung bình |
| CVE-2019-9355 | A-115903122 | ID | Trung bình |
| CVE-2019-9356 | A-111699773 | ID | Trung bình |
| CVE-2019-9360 | A-120610663 | ID | Trung bình |
| CVE-2019-9368 | A-79883568 | ID | Trung bình |
| CVE-2019-9369 | A-79995407 | ID | Trung bình |
| CVE-2019-9381 | A-122677612 | ID | Trung bình |
| CVE-2019-9383 | A-120843827 | ID | Trung bình |
| CVE-2019-9387 | A-117569833 | ID | Trung bình |
| CVE-2019-9388 | A-117567437 | ID | Trung bình |
| CVE-2019-9403 | A-113512324 | ID | Trung bình |
| CVE-2019-9414 | A-111893041 | ID | Trung bình |
| CVE-2019-9427 | A-110166350 | ID | Trung bình |
| CVE-2019-9431 | A-109755179 | ID | Trung bình |
| CVE-2019-9432 | A-80546108 | ID | Trung bình |
| CVE-2019-9434 | A-80432895 | ID | Trung bình |
| CVE-2019-9435 | A-80146682 | ID | Trung bình |
| CVE-2019-9330 | A-111214739 | ID | Trung bình |
| CVE-2019-9331 | A-112272279 | ID | Trung bình |
| CVE-2019-9341 | A-111214770 | ID | Trung bình |
| CVE-2019-9342 | A-111214470 | ID | Trung bình |
| CVE-2019-9343 | A-112050983 | ID | Trung bình |
| CVE-2019-9367 | A-112106425 | ID | Trung bình |
| CVE-2019-9413 | A-111935831 | ID | Trung bình |
| CVE-2019-9417 | A-111450079 | ID | Trung bình |
| CVE-2019-9419 | A-111407544 | ID | Trung bình |
| CVE-2019-9422 | A-111214766 | ID | Trung bình |
| CVE-2020-0236 | A-79703353 | ID | Trung bình |
| CVE-2019-9279 | A-110476382 | Yêu cầu | Trung bình |
| CVE-2019-9285 | A-111215315 | Yêu cầu | Trung bình |
| CVE-2019-9286 | A-111213909 | Yêu cầu | Trung bình |
| CVE-2019-9311 | A-79431031 | Yêu cầu | Trung bình |
| CVE-2019-9327 | A-112050583 | Yêu cầu | Trung bình |
| CVE-2019-9462 | A-91544774 | Yêu cầu | Trung bình |
| CVE-2019-9389 | A-117567058 | Yêu cầu | Trung bình |
| CVE-2019-9390 | A-117551475 | Yêu cầu | Trung bình |
| CVE-2019-9393 | A-116357965 | Yêu cầu | Trung bình |
| CVE-2019-9394 | A-116351796 | Yêu cầu | Trung bình |
| CVE-2019-9395 | A-116267405 | Yêu cầu | Trung bình |
| CVE-2019-9396 | A-115747155 | Yêu cầu | Trung bình |
| CVE-2019-9397 | A-115747410 | Yêu cầu | Trung bình |
| CVE-2019-9398 | A-115745406 | Yêu cầu | Trung bình |
| CVE-2019-9400 | A-115509589 | Yêu cầu | Trung bình |
| CVE-2019-9401 | A-115375248 | Yêu cầu | Trung bình |
| CVE-2019-9402 | A-115372550 | Yêu cầu | Trung bình |
| CVE-2019-9404 | A-112923309 | Yêu cầu | Trung bình |
| CVE-2019-9425 | A-110846194 | Yêu cầu | Trung bình |
| CVE-2019-9430 | A-109838296 | Yêu cầu | Trung bình |
Libxaac
Thư viện libxaac của Android 9 được đánh dấu là thử nghiệm và bị xoá khỏi các bản dựng Android chính thức trong Bản tin bảo mật Android tháng 11 năm 2018. Chúng tôi muốn cảm ơn các nhà nghiên cứu vì những phát hiện của họ.
Các vấn đề được xác định bao gồm mã CVE sau: CVE-2019-2055, CVE-2019-2059, CVE-2019-2060, CVE-2019-2061, CVE-2019-2062, CVE-2019-2063, CVE-2019-2064, CVE-2019-2065, CVE-2019-2066, CVE-2019-2067, CVE-2019-2068, CVE-2019-2069, CVE-2019-2070, CVE-2019-2071, CVE-2019-2072, CVE-2019-2073, CVE-2019-2074, CVE-2019-2075, CVE-2019-2076, CVE-2019-2077, CVE-2019-2078, CVE-2019-2079, CVE-2019-2080, CVE-2019-2081, CVE-2019-2082, CVE-2019-2083, CVE-2019-2084, CVE-2019-2085, CVE-2019-2086, CVE-2019-2087, CVE-2019-2138, CVE-2019-2139, CVE-2019-2140, CVE-2019-2141, CVE-2019-2142, CVE-2019-2143, CVE-2019-2144, CVE-2019-2145, CVE-2019-2146, CVE-2019-2147, CVE-2019-2148, CVE-2019-2149, CVE-2019-2150, CVE-2019-2151, CVE-2019-2152, CVE-2019-2153, CVE-2019-2154, CVE-2019-2155, CVE-2019-2156, CVE-2019-2157, CVE-2019-2158, CVE-2019-2159, CVE-2019-2160, CVE-2019-2161, CVE-2019-2162, CVE-2019-2163, CVE-2019-2164, CVE-2019-2165, CVE-2019-2166, CVE-2019-2167, CVE-2019-2168, CVE-2019-2169, CVE-2019-2170, CVE-2019-2171, CVE-2019-2172, CVE-2019-9261, CVE-2019-9264, CVE-2019-9385 và CVE-2019-9391.
Câu hỏi thường gặp và câu trả lời
Phần này giải đáp các câu hỏi thường gặp có thể xảy ra sau khi đọc bản tin này.
1. Làm cách nào để xác định xem thiết bị của tôi đã được cập nhật để giải quyết những vấn đề này hay chưa?
Để tìm hiểu cách kiểm tra cấp bản vá bảo mật của thiết bị, hãy xem bài viết Kiểm tra và cập nhật phiên bản Android.
Android 10, như được phát hành trên AOSP, có cấp bản vá bảo mật mặc định là 01/09/2019. Các thiết bị Android chạy Android 10 và có cấp bản vá bảo mật từ ngày 1 tháng 9 năm 2019 trở lên sẽ giải quyết tất cả các vấn đề có trong các ghi chú phát hành bảo mật này.
2. Các mục trong cột Type (Loại) có ý nghĩa gì?
Các mục trong cột Loại của bảng chi tiết về lỗ hổng
tham chiếu đến cách phân loại lỗ hổng bảo mật.
| Từ viết tắt | Định nghĩa |
|---|---|
| RCE | Thực thi mã từ xa |
| EoP | Nâng cao đặc quyền |
| ID | Tiết lộ thông tin |
| Yêu cầu | Từ chối dịch vụ |
| Không áp dụng | Không có nhãn phân loại |
3. Các mục trong cột Tệp đối chiếu có ý nghĩa gì?
Các mục trong cột Tham chiếu của bảng chi tiết về lỗ hổng có thể chứa tiền tố xác định tổ chức mà giá trị tham chiếu thuộc về.
| Tiền tố | Tài liệu tham khảo |
|---|---|
| A- | Mã lỗi Android |
Phiên bản
| Phiên bản | Ngày | Ghi chú |
|---|---|---|
| 1.0 | Ngày 20 tháng 8 năm 2019 | Đã xuất bản Ghi chú phát hành bảo mật. |
| 1.1 | Ngày 21 tháng 8 năm 2019 | Điều chỉnh nhỏ đối với bảng lỗ hổng bảo mật |
| 1.2 | Ngày 17 tháng 9 năm 2019 | Đã cập nhật danh sách xác nhận và vấn đề |
| 1.3 | Ngày 21 tháng 11 năm 2019 | Danh sách vấn đề đã cập nhật |
| 1.4 | Ngày 12 tháng 2 năm 2020 | Đã cập nhật danh sách vấn đề |
| 1,5 | Ngày 26 tháng 2 năm 2020 | Đã cập nhật danh sách vấn đề |
| 1.6 | Ngày 11 tháng 5 năm 2020 | Danh sách vấn đề đã cập nhật |
| 1.7 | Ngày 11 tháng 6 năm 2020 | Danh sách vấn đề đã cập nhật |
| 1.8 | Ngày 27 tháng 1 năm 2021 | Danh sách vấn đề đã cập nhật |