Xuất bản ngày 20 tháng 8 năm 2019 | Cập nhật ngày 27 tháng 1 năm 2021
Ghi chú phát hành bảo mật Android này chứa thông tin chi tiết về các lỗ hổng bảo mật ảnh hưởng đến thiết bị Android được giải quyết như một phần của Android 10. Các thiết bị Android 10 có cấp bản vá bảo mật 2019-09-01 trở lên được bảo vệ chống lại những vấn đề này (Android 10, như được phát hành trên AOSP, có cấp bản vá bảo mật mặc định là 2019-09-01). Để tìm hiểu cách kiểm tra mức bản vá bảo mật của thiết bị, hãy xem Cách kiểm tra và cập nhật phiên bản Android của bạn .
Các đối tác Android được thông báo về tất cả các vấn đề trước khi xuất bản. Các bản vá mã nguồn cho những vấn đề này sẽ được phát hành vào kho lưu trữ Dự án nguồn mở Android (AOSP) như một phần của bản phát hành Android 10.
Việc đánh giá mức độ nghiêm trọng của các vấn đề trong các ghi chú phát hành này dựa trên tác động mà việc khai thác lỗ hổng bảo mật có thể có trên một thiết bị bị ảnh hưởng, giả sử rằng việc giảm nhẹ nền tảng và dịch vụ được tắt cho mục đích phát triển hoặc nếu được bỏ qua thành công.
Chúng tôi chưa có báo cáo nào về việc khai thác khách hàng đang hoạt động hoặc lạm dụng các vấn đề mới được báo cáo này. Tham khảo phần giảm nhẹ Android và Google Play Protect để biết chi tiết về các biện pháp bảo vệ nền tảng bảo mật Android và Google Play Protect, các biện pháp này cải thiện tính bảo mật của nền tảng Android.
Thông báo
- Các vấn đề được mô tả trong tài liệu này được giải quyết như một phần của Android 10. Thông tin này được cung cấp để tham khảo và minh bạch.
- Chúng tôi muốn ghi nhận và cảm ơn cộng đồng nghiên cứu bảo mật vì những đóng góp không ngừng của họ đối với việc bảo mật hệ sinh thái Android.
Giảm thiểu dịch vụ của Android và Google
Đây là bản tóm tắt về các biện pháp giảm nhẹ được cung cấp bởi nền tảng bảo mật Android và các biện pháp bảo vệ dịch vụ như Google Play Protect . Những khả năng này làm giảm khả năng các lỗ hổng bảo mật có thể bị khai thác thành công trên Android.
- Việc khai thác nhiều vấn đề trên Android trở nên khó khăn hơn do các cải tiến trong các phiên bản mới hơn của nền tảng Android. Chúng tôi khuyến khích tất cả người dùng cập nhật lên phiên bản Android mới nhất nếu có thể.
- Nhóm bảo mật Android tích cực giám sát hành vi lạm dụng thông qua Google Play Protect và cảnh báo người dùng về các Ứng dụng có thể gây hại . Google Play Protect được bật theo mặc định trên các thiết bị có Dịch vụ di động của Google và đặc biệt quan trọng đối với những người dùng cài đặt ứng dụng từ bên ngoài Google Play.
Android 10 — Chi tiết về lỗ hổng bảo mật
Các phần bên dưới cung cấp thông tin chi tiết về các lỗ hổng bảo mật đã được khắc phục như một phần của Android 10. Các lỗ hổng được nhóm theo thành phần mà chúng ảnh hưởng và bao gồm các chi tiết như CVE, các tham chiếu liên quan, loại lỗ hổng và mức độ nghiêm trọng .
Thời gian chạy Android
| CVE | Người giới thiệu | Loại hình | Mức độ nghiêm trọng |
|---|---|---|---|
| CVE-2019-9290 | A-113039724 | EoP | Vừa phải |
| CVE-2019-9429 | A-110035108 | EoP | Vừa phải |
Khuôn khổ
| CVE | Người giới thiệu | Loại hình | Mức độ nghiêm trọng |
|---|---|---|---|
| CVE-2019-9262 | A-111792351 | RCE | Vừa phải |
| CVE-2019-9256 | A-111921829 | RCE | Vừa phải |
| CVE-2019-9280 | A-119322269 | EoP | Vừa phải |
| CVE-2019-2216 | A-38390530 | EoP | Vừa phải |
| CVE-2019-2089 | A-116608833 | EoP | Vừa phải |
| CVE-2019-9288 | A-111363077 | EoP | Vừa phải |
| CVE-2019-9384 | A-120568007 | EoP | Vừa phải |
| CVE-2019-9269 | A-36899497 | EoP | Vừa phải |
| CVE-2019-9378 | A-124539196 | EoP | Vừa phải |
| CVE-2019-9380 | A-123700098 | EoP | Vừa phải |
| CVE-2019-9407 | A-112434609 | EoP | Vừa phải |
| CVE-2019-2088 | A-143895055 | TÔI | Vừa phải |
| CVE-2019-2058 | A-136089102 | TÔI | Vừa phải |
| CVE-2019-9351 | A-128599864 | TÔI | Vừa phải |
| CVE-2019-9281 | A-32748076 | TÔI | Vừa phải |
| CVE-2019-9377 | A-128599663 | TÔI | Vừa phải |
| CVE-2019-9292 | A-115384617 | TÔI | Vừa phải |
| CVE-2019-9424 | A-110941092 | TÔI | Vừa phải |
| CVE-2019-9399 | A-115635664 | TÔI | Vừa phải |
| CVE-2019-9421 | A-111215250 | TÔI | Vừa phải |
| CVE-2019-9323 | A-30770233 | TÔI | Vừa phải |
| CVE-2019-9438 | A-77821568 | TÔI | Vừa phải |
| CVE-2019-9373 | A-130173029 | DoS | Vừa phải |
| CVE-2019-9372 | A-132782448 | DoS | Vừa phải |
Thư viện
| CVE | Người giới thiệu | Loại hình | Mức độ nghiêm trọng |
|---|---|---|---|
| CVE-2019-9423 | A-110986616 | EoP | Vừa phải |
| CVE-2019-9459 | A-79593569 | EoP | Vừa phải |
Khung phương tiện
| CVE | Người giới thiệu | Loại hình | Mức độ nghiêm trọng |
|---|---|---|---|
| CVE-2019-9297 | A-112890242 | RCE | Vừa phải |
| CVE-2019-9298 | A-112892194 | RCE | Vừa phải |
| CVE-2019-9299 | A-112663886 | RCE | Vừa phải |
| CVE-2019-9300 | A-112661610 | RCE | Vừa phải |
| CVE-2019-9301 | A-112663384 | RCE | Vừa phải |
| CVE-2019-9302 | A-112661356 | RCE | Vừa phải |
| CVE-2019-9303 | A-112661057 | RCE | Vừa phải |
| CVE-2019-9304 | A-112662270 | RCE | Vừa phải |
| CVE-2019-9305 | A-112661835 | RCE | Vừa phải |
| CVE-2019-9306 | A-112661348 | RCE | Vừa phải |
| CVE-2019-9307 | A-112661893 | RCE | Vừa phải |
| CVE-2019-9308 | A-112661742 | RCE | Vừa phải |
| CVE-2019-9346 | A-128433933 | RCE | Vừa phải |
| CVE-2019-9357 | A-112662995 | RCE | Vừa phải |
| CVE-2019-9382 | A-120874654 | RCE | Vừa phải |
| CVE-2019-9405 | A-112890225 | RCE | Vừa phải |
| CVE-2019-9278 | A-112537774 | RCE | Vừa phải |
| CVE-2020-0086 | A-131859347 | EoP | Vừa phải |
| CVE-2019-9310 | A-112891546 | EoP | Vừa phải |
| CVE-2019-9232 | A-122675483 | TÔI | Vừa phải |
| CVE-2019-9247 | A-120426166 | TÔI | Vừa phải |
| CVE-2019-9282 | A-113211371 | TÔI | Vừa phải |
| CVE-2019-9293 | A-117661116 | TÔI | Vừa phải |
| CVE-2019-9294 | A-111764444 | TÔI | Vừa phải |
| CVE-2019-9313 | A-112005441 | TÔI | Vừa phải |
| CVE-2019-9314 | A-112329563 | TÔI | Vừa phải |
| CVE-2019-9315 | A-112326216 | TÔI | Vừa phải |
| CVE-2019-9316 | A-112052432 | TÔI | Vừa phải |
| CVE-2019-9317 | A-112052258 | TÔI | Vừa phải |
| CVE-2019-9318 | A-111764725 | TÔI | Vừa phải |
| CVE-2019-9319 | A-111762100 | TÔI | Vừa phải |
| CVE-2019-9320 | A-111761624 | TÔI | Vừa phải |
| CVE-2019-9321 | A-111208713 | TÔI | Vừa phải |
| CVE-2019-9322 | A-111128067 | TÔI | Vừa phải |
| CVE-2019-9325 | A-112001302 | TÔI | Vừa phải |
| CVE-2019-9334 | A-112859934 | TÔI | Vừa phải |
| CVE-2019-9335 | A-112328051 | TÔI | Vừa phải |
| CVE-2019-9336 | A-112326322 | TÔI | Vừa phải |
| CVE-2019-9337 | A-112204376 | TÔI | Vừa phải |
| CVE-2019-9338 | A-111762686 | TÔI | Vừa phải |
| CVE-2019-9347 | A-109891727 | TÔI | Vừa phải |
| CVE-2019-9359 | A-111407302 | TÔI | Vừa phải |
| CVE-2019-9361 | A-111762807 | TÔI | Vừa phải |
| CVE-2019-9362 | A-120426980 | TÔI | Vừa phải |
| CVE-2019-9364 | A-73364631 | TÔI | Vừa phải |
| CVE-2019-9366 | A-112052062 | TÔI | Vừa phải |
| CVE-2019-9370 | A-133880046 | TÔI | Vừa phải |
| CVE-2019-9406 | A-112552517 | TÔI | Vừa phải |
| CVE-2019-9408 | A-112380157 | TÔI | Vừa phải |
| CVE-2019-9409 | A-112272091 | TÔI | Vừa phải |
| CVE-2019-9410 | A-112204443 | TÔI | Vừa phải |
| CVE-2019-9411 | A-112204845 | TÔI | Vừa phải |
| CVE-2019-9412 | A-112006096 | TÔI | Vừa phải |
| CVE-2019-9415 | A-111805098 | TÔI | Vừa phải |
| CVE-2019-9416 | A-111804142 | TÔI | Vừa phải |
| CVE-2019-9433 | A-80479354 | TÔI | Vừa phải |
| CVE-2019-9252 | A-73339042 | TÔI | Vừa phải |
| CVE-2019-9268 | A-77474014 | DoS | Vừa phải |
| CVE-2020-0088 | A-124389881 | DoS | Vừa phải |
| CVE-2019-9283 | A-112663564 | DoS | Vừa phải |
| CVE-2019-9348 | A-128431761 | DoS | Vừa phải |
| CVE-2019-9349 | A-124330204 | DoS | Vừa phải |
| CVE-2019-9352 | A-124253062 | DoS | Vừa phải |
| CVE-2019-9371 | A-132783254 | DoS | Vừa phải |
| CVE-2019-9379 | A-124329638 | DoS | Vừa phải |
| CVE-2019-9418 | A-111450210 | DoS | Vừa phải |
| CVE-2019-9420 | A-111272481 | DoS | Vừa phải |
Hệ thống
| CVE | Người giới thiệu | Loại hình | Mức độ nghiêm trọng |
|---|---|---|---|
| CVE-2019-9475 | A-9496886 | TÔI | Cao |
| CVE-2019-9363 | A-123584306 | RCE | Vừa phải |
| CVE-2019-9365 | A-109838537 | RCE | Vừa phải |
| CVE-2018-9425 | A-73884967 | EoP | Vừa phải |
| CVE-2019-9463 | A-113584607 | EoP | Vừa phải |
| CVE-2019-9291 | A-112159179 | EoP | Vừa phải |
| CVE-2019-9386 | A-122361874 | EoP | Vừa phải |
| CVE-2019-9375 | A-129344244 | EoP | Vừa phải |
| CVE-2019-9238 | A-121267042 | EoP | Vừa phải |
| CVE-2019-9257 | A-113572342 | EoP | Vừa phải |
| CVE-2019-9258 | A-113655028 | EoP | Vừa phải |
| CVE-2019-9259 | A-113575306 | EoP | Vừa phải |
| CVE-2019-9263 | A-73136824 | EoP | Vừa phải |
| CVE-2019-9266 | A-119501435 | EoP | Vừa phải |
| CVE-2019-9295 | A-36885811 | EoP | Vừa phải |
| CVE-2019-9309 | A-117985575 | EoP | Vừa phải |
| CVE-2019-9350 | A-129562815 | EoP | Vừa phải |
| CVE-2019-9358 | A-120156401 | EoP | Vừa phải |
| CVE-2018-9489 | A-77286245 | TÔI | Vừa phải |
| CVE-2019-9473 | A-115363533 | TÔI | Vừa phải |
| CVE-2019-9474 | A-79996267 | TÔI | Vừa phải |
| CVE-2019-9440 | A-37637796 | TÔI | Vừa phải |
| CVE-2019-9277 | A-68016944 | TÔI | Vừa phải |
| CVE-2019-9233 | A-122529021 | TÔI | Vừa phải |
| CVE-2019-9234 | A-122465453 | TÔI | Vừa phải |
| CVE-2019-9235 | A-122323053 | TÔI | Vừa phải |
| CVE-2019-9236 | A-122322613 | TÔI | Vừa phải |
| CVE-2019-9237 | A-121325979 | TÔI | Vừa phải |
| CVE-2019-9239 | A-121263487 | TÔI | Vừa phải |
| CVE-2019-9240 | A-121150966 | TÔI | Vừa phải |
| CVE-2019-9241 | A-121036603 | TÔI | Vừa phải |
| CVE-2019-9242 | A-121035878 | TÔI | Vừa phải |
| CVE-2019-9243 | A-120905706 | TÔI | Vừa phải |
| CVE-2019-9244 | A-120865977 | TÔI | Vừa phải |
| CVE-2019-9246 | A-120428637 | TÔI | Vừa phải |
| CVE-2019-9249 | A-120255805 | TÔI | Vừa phải |
| CVE-2019-9250 | A-120276962 | TÔI | Vừa phải |
| CVE-2019-9251 | A-120274615 | TÔI | Vừa phải |
| CVE-2019-9253 | A-109769728 | TÔI | Vừa phải |
| CVE-2019-9260 | A-113495295 | TÔI | Vừa phải |
| CVE-2019-9265 | A-37994606 | TÔI | Vừa phải |
| CVE-2019-9272 | A-11596047 | TÔI | Vừa phải |
| CVE-2019-9284 | A-111850706 | TÔI | Vừa phải |
| CVE-2019-9287 | A-78287084 | TÔI | Vừa phải |
| CVE-2019-9289 | A-79883824 | TÔI | Vừa phải |
| CVE-2018-9581 | A-111698366 | TÔI | Vừa phải |
| CVE-2019-9296 | A-112162089 | TÔI | Vừa phải |
| CVE-2019-9312 | A-78288018 | TÔI | Vừa phải |
| CVE-2019-9326 | A-111215173 | TÔI | Vừa phải |
| CVE-2019-9328 | A-111895000 | TÔI | Vừa phải |
| CVE-2019-9329 | A-112917952 | TÔI | Vừa phải |
| CVE-2019-9332 | A-78286500 | TÔI | Vừa phải |
| CVE-2019-9333 | A-109753657 | TÔI | Vừa phải |
| CVE-2019-9344 | A-120845341 | TÔI | Vừa phải |
| CVE-2019-9353 | A-123024201 | TÔI | Vừa phải |
| CVE-2019-9354 | A-118148142 | TÔI | Vừa phải |
| CVE-2019-9355 | A-115903122 | TÔI | Vừa phải |
| CVE-2019-9356 | A-111699773 | TÔI | Vừa phải |
| CVE-2019-9360 | A-120610663 | TÔI | Vừa phải |
| CVE-2019-9368 | A-79883568 | TÔI | Vừa phải |
| CVE-2019-9369 | A-79995407 | TÔI | Vừa phải |
| CVE-2019-9381 | A-122677612 | TÔI | Vừa phải |
| CVE-2019-9383 | A-120843827 | TÔI | Vừa phải |
| CVE-2019-9387 | A-117569833 | TÔI | Vừa phải |
| CVE-2019-9388 | A-117567437 | TÔI | Vừa phải |
| CVE-2019-9403 | A-113512324 | TÔI | Vừa phải |
| CVE-2019-9414 | A-111893041 | TÔI | Vừa phải |
| CVE-2019-9427 | A-110166350 | TÔI | Vừa phải |
| CVE-2019-9431 | A-109755179 | TÔI | Vừa phải |
| CVE-2019-9432 | A-80546108 | TÔI | Vừa phải |
| CVE-2019-9434 | A-80432895 | TÔI | Vừa phải |
| CVE-2019-9435 | A-80146682 | TÔI | Vừa phải |
| CVE-2019-9330 | A-111214739 | TÔI | Vừa phải |
| CVE-2019-9331 | A-112272279 | TÔI | Vừa phải |
| CVE-2019-9341 | A-111214770 | TÔI | Vừa phải |
| CVE-2019-9342 | A-111214470 | TÔI | Vừa phải |
| CVE-2019-9343 | A-112050983 | TÔI | Vừa phải |
| CVE-2019-9367 | A-112106425 | TÔI | Vừa phải |
| CVE-2019-9413 | A-111935831 | TÔI | Vừa phải |
| CVE-2019-9417 | A-111450079 | TÔI | Vừa phải |
| CVE-2019-9419 | A-111407544 | TÔI | Vừa phải |
| CVE-2019-9422 | A-111214766 | TÔI | Vừa phải |
| CVE-2020-0236 | A-79703353 | TÔI | Vừa phải |
| CVE-2019-9279 | A-110476382 | DoS | Vừa phải |
| CVE-2019-9285 | A-111215315 | DoS | Vừa phải |
| CVE-2019-9286 | A-111213909 | DoS | Vừa phải |
| CVE-2019-9311 | A-79431031 | DoS | Vừa phải |
| CVE-2019-9327 | A-112050583 | DoS | Vừa phải |
| CVE-2019-9462 | A-91544774 | DoS | Vừa phải |
| CVE-2019-9389 | A-117567058 | DoS | Vừa phải |
| CVE-2019-9390 | A-117551475 | DoS | Vừa phải |
| CVE-2019-9393 | A-116357965 | DoS | Vừa phải |
| CVE-2019-9394 | A-116351796 | DoS | Vừa phải |
| CVE-2019-9395 | A-116267405 | DoS | Vừa phải |
| CVE-2019-9396 | A-115747155 | DoS | Vừa phải |
| CVE-2019-9397 | A-115747410 | DoS | Vừa phải |
| CVE-2019-9398 | A-115745406 | DoS | Vừa phải |
| CVE-2019-9400 | A-115509589 | DoS | Vừa phải |
| CVE-2019-9401 | A-115375248 | DoS | Vừa phải |
| CVE-2019-9402 | A-115372550 | DoS | Vừa phải |
| CVE-2019-9404 | A-112923309 | DoS | Vừa phải |
| CVE-2019-9425 | A-110846194 | DoS | Vừa phải |
| CVE-2019-9430 | A-109838296 | DoS | Vừa phải |
Libxaac
Thư viện libxaac của Android 9 đã được đánh dấu là thử nghiệm và bị xóa khỏi các bản dựng Android sản xuất như một phần của Bản tin bảo mật Android tháng 11 năm 2018 . Chúng tôi muốn ghi nhận những phát hiện của các nhà nghiên cứu.
Các vấn đề được xác định bao gồm các ID CVE sau: CVE-2019-2055, CVE-2019-2059, CVE-2019-2060, CVE-2019-2061, CVE-2019-2062, CVE-2019-2063, CVE-2019-2064 , CVE-2019-2065, CVE-2019-2066, CVE-2019-2067, CVE-2019-2068, CVE-2019-2069, CVE-2019-2070, CVE-2019-2071, CVE-2019-2072, CVE -2019-2073, CVE-2019-2074, CVE-2019-2075, CVE-2019-2076, CVE-2019-2077, CVE-2019-2078, CVE-2019-2079, CVE-2019-2080, CVE-2019 -2081, CVE-2019-2082, CVE-2019-2083, CVE-2019-2084, CVE-2019-2085, CVE-2019-2086, CVE-2019-2087, CVE-2019-2138, CVE-2019-2139 , CVE-2019-2140, CVE-2019-2141, CVE-2019-2142, CVE-2019-2143, CVE-2019-2144, CVE-2019-2145, CVE-2019-2146, CVE-2019-2147, CVE -2019-2148, CVE-2019-2149, CVE-2019-2150, CVE-2019-2151, CVE-2019-2152, CVE-2019-2153, CVE-2019-2154, CVE-2019-2155, CVE-2019 -2156, CVE-2019-2157, CVE-2019-2158, CVE-2019-2159, CVE-2019-2160, CVE-2019-2161, CVE-2019-2162, CVE-2019-2163, CVE-2019-2164 , CVE-2019-2165, CVE-2019-2166, CVE-2019-2167, CVE-2019-2168, CVE-2019-2169, CVE-2019-2170, CV E-2019-2171, CVE-2019-2172, CVE-2019-9261, CVE-2019-9264, CVE-2019-9385 và CVE-2019-9391.
Các câu hỏi và câu trả lời phổ biến
Phần này trả lời các câu hỏi phổ biến có thể xảy ra sau khi đọc bản tin này.
1. Làm cách nào để xác định xem thiết bị của tôi có được cập nhật để giải quyết những vấn đề này hay không?
Để tìm hiểu cách kiểm tra mức bản vá bảo mật của thiết bị, hãy xem Kiểm tra và cập nhật phiên bản Android của bạn .
Android 10, được phát hành trên AOSP, có cấp bản vá bảo mật mặc định là 2019-09-01. Các thiết bị Android chạy Android 10 và có cấp bản vá bảo mật 2019-09-01 trở lên giải quyết tất cả các vấn đề có trong các ghi chú phát hành bảo mật này.
2. Các mục nhập trong cột Loại có nghĩa là gì?
Các mục nhập trong cột Loại của bảng chi tiết lỗ hổng tham chiếu đến phân loại lỗ hổng bảo mật.
| Viết tắt | Sự định nghĩa |
|---|---|
| RCE | Thực thi mã từ xa |
| EoP | Nâng cao đặc quyền |
| TÔI | Công bố thông tin |
| DoS | Từ chối dịch vụ |
| N / A | Phân loại không có sẵn |
3. Các mục trong cột Tài liệu tham khảo có nghĩa là gì?
Các mục trong cột Tham chiếu của bảng chi tiết về lỗ hổng bảo mật có thể chứa tiền tố xác định tổ chức mà giá trị tham chiếu thuộc về.
| Tiếp đầu ngữ | Tài liệu tham khảo |
|---|---|
| MỘT- | ID lỗi Android |
Phiên bản
| Phiên bản | Ngày | Ghi chú |
|---|---|---|
| 1,0 | 20 tháng 8, 2019 | Đã xuất bản Ghi chú phát hành bảo mật. |
| 1.1 | Ngày 21 tháng 8 năm 2019 | Điều chỉnh nhỏ đối với bảng lỗ hổng bảo mật |
| 1,2 | 17 tháng 9, 2019 | Đã cập nhật xác nhận và danh sách vấn đề |
| 1,3 | Ngày 21 tháng 11 năm 2019 | Đã cập nhật danh sách vấn đề |
| 1,4 | Ngày 12 tháng 2 năm 2020 | Đã cập nhật danh sách vấn đề |
| 1,5 | Ngày 26 tháng 2 năm 2020 | Đã cập nhật danh sách vấn đề |
| 1,6 | Ngày 11 tháng 5 năm 2020 | Đã cập nhật danh sách vấn đề |
| 1,7 | Ngày 11 tháng 6 năm 2020 | Đã cập nhật danh sách vấn đề |
| 1,8 | Ngày 27 tháng 1 năm 2021 | Đã cập nhật danh sách vấn đề |