Опубликован 25 августа 2020 г. | Обновлен 19 ноября 2021 г.
В этих примечаниях к выпуску содержится информация об уязвимостях в защите, исправленных в Android 11. Перечисленные здесь проблемы устранены на устройствах Android 11 с исправлением системы безопасности 2020-09-01 или более новыми (исправление 2020-09-01 по умолчанию используется в версии Android 11, опубликованной на сайте AOSP). Информацию о том, как проверить уровень исправления системы безопасности на устройстве, можно найти в статье об обновлении версии Android.
Мы сообщаем партнерам Android обо всех проблемах до публикации бюллетеней. Исправления для устранения указанных уязвимостей в исходном коде добавлены в хранилище Android Open Source Project (AOSP) в рамках выпуска Android 11.
Уровень серьезности, указанный в этих примечаниях к выпуску, зависит от того, какой ущерб потенциально может быть нанесен устройству в случае использования уязвимости, если средства защиты будут отключены в целях разработки или злоумышленнику удастся их обойти.
Мы не получали сообщений об использовании недавно обнаруженных уязвимостей. Сведения о том, как платформа безопасности и Google Play Защита помогают снизить вероятность использования уязвимостей Android, можно найти в разделе Предотвращение атак.
Объявления
- Проблемы, описанные в этом документе, устранены в Android 11. Сведения о них предоставлены для справки и обеспечения информационной прозрачности.
- Мы хотим поблагодарить исследователей в области безопасности за их непрерывную работу, которая помогает обеспечить защиту экосистемы Android.
Предотвращение атак
Здесь описано, как платформа безопасности Android и такие сервисы, как Google Play Защита, позволяют снизить вероятность успешного использования уязвимостей Android.
- В новых версиях Android сложнее использовать многие уязвимости, поэтому мы рекомендуем всем своевременно обновлять систему.
- Команда, отвечающая за безопасность Android, активно отслеживает злоупотребления с помощью Google Play Защиты и предупреждает пользователей об установке потенциально опасных приложений. Google Play Защита по умолчанию включена на телефонах и планшетах, использующих сервисы Google для мобильных устройств. Она особенно важна, если устанавливаются приложения не из Google Play.
Android 11: подробные сведения об уязвимостях
В этом разделе вы найдете подробную информацию обо всех уязвимостях, устраненных в Android 11. Проблемы сгруппированы по компонентам, которые они затрагивают. Для каждого случая приведены описание и таблица, где указаны CVE, ссылки, тип уязвимости и уровень серьезности.
Android Runtime
| CVE | Ссылки | Тип | Уровень серьезности |
|---|---|---|---|
| CVE-2020-0330 | A-150331085 | EoP | Средний |
Framework
| CVE | Ссылки | Тип | Уровень серьезности |
|---|---|---|---|
| CVE-2020-0267 | A-139128211 | EoP | Критический |
| CVE-2020-0275 | A-150507736 | EoP | Высокий |
| CVE-2020-27098 | A-138791358 | EoP | Высокий |
| CVE-2020-0337 | A-124329382 | ID | Высокий |
| CVE-2020-27097 | A-140729426 | ID | Высокий |
| CVE-2020-0333 | A-73822755 | RCE | Средний |
| CVE-2019-13734 | A-147323008 | EoP | Средний |
| CVE-2019-13752 | A-147320136 | EoP | Средний |
| CVE-2019-13753 | A-147320314 | EoP | Средний |
| CVE-2020-0130 | A-123230379 | EoP | Средний |
| CVE-2020-0277 | A-148627993 | EoP | Средний |
| CVE-2020-0341 | A-144920149 | EoP | Средний |
| CVE-2020-0345 | A-144286721 | EoP | Средний |
| CVE-2020-0366 | A-138443815 | EoP | Средний |
| CVE-2019-13751 | A-147322738 | ID | Средний |
| CVE-2020-0288 | A-153995991 | ID | Средний |
| CVE-2020-0289 | A-153996872 | ID | Средний |
| CVE-2020-0290 | A-153996866 | ID | Средний |
| CVE-2020-0293 | A-141455849 | ID | Средний |
| CVE-2020-0296 | A-153356209 | ID | Средний |
| CVE-2020-0297 | A-155183624 | ID | Средний |
| CVE-2020-0308 | A-153654357 | ID | Средний |
| CVE-2020-0312 | A-153879099 | ID | Средний |
| CVE-2020-0317 | A-119671929 | ID | Средний |
| CVE-2020-0343 | A-119672472 | ID | Средний |
| CVE-2020-0352 | A-132074310 | ID | Средний |
| CVE-2020-0372 | A-119673147 | ID | Средний |
Библиотека
| CVE | Ссылки | Тип | Уровень серьезности |
|---|---|---|---|
| CVE-2020-0369 | A-130231426 | EoP | Средний |
| CVE-2019-8842 | A-141551144 | ID | Средний |
| CVE-2020-0322 | A-147002540 | ID | Средний |
| CVE-2020-0323 | A-146516087 | ID | Средний |
| CVE-2020-0425 | A-124000380 | ID | Высокий |
| CVE-2020-0426 | A-154921790 | ID | Средний |
| CVE-2020-3898 | A-111450151 | ID | Средний |
Media Framework
| CVE | Ссылки | Тип | Уровень серьезности |
|---|---|---|---|
| CVE-2020-0264 | A-116718596 | RCE | Средний |
| CVE-2020-0303 | A-148223229 | RCE | Средний |
| CVE-2020-0321 | A-155171907 | RCE | Средний |
| CVE-2020-0306 | A-139666480 | EoP | Средний |
| CVE-2020-0336 | A-153467444 | EoP | Средний |
| CVE-2020-0346 | A-147002762 | EoP | Средний |
| CVE-2020-0356 | A-143787559 | EoP | Средний |
| CVE-2020-0357 | A-150225569 | EoP | Средний |
| CVE-2020-0358 | A-150227563 | EoP | Средний |
| CVE-2020-0360 | A-145129456 | EoP | Средний |
| CVE-2020-0406 | A-137794014 | EoP | Средний |
| CVE-2020-0125 | A-137282168 | ID | Средний |
| CVE-2020-0270 | A-145790628 | ID | Средний |
| CVE-2020-0274 | A-120781925 | ID | Средний |
| CVE-2020-0279 | A-131430997 | ID | Средний |
| CVE-2020-0314 | A-154934920 | ID | Средний |
| CVE-2020-0324 | A-136660304 | ID | Средний |
| CVE-2020-0328 | A-150156131 | ID | Средний |
| CVE-2020-0329 | A-63522940 | ID | Средний |
| CVE-2020-0340 | A-144901522 | ID | Средний |
| CVE-2020-0344 | A-140729887 | ID | Средний |
| CVE-2020-0355 | A-141883493 | ID | Средний |
| CVE-2020-0359 | A-150303018 | ID | Средний |
| CVE-2020-0361 | A-151927433 | ID | Средний |
| CVE-2020-0364 | A-137282770 | ID | Средний |
| CVE-2020-0370 | A-112051700 | ID | Средний |
| CVE-2020-0373 | A-146894086 | ID | Средний |
| CVE-2020-0287 | A-141860394 | DoS | Средний |
| CVE-2020-0301 | A-124940460 | DoS | Средний |
| CVE-2020-0320 | A-129282427 | DoS | Средний |
| CVE-2020-0332 | A-124783982 | DoS | Средний |
| CVE-2020-0351 | A-124777537 | DoS | Средний |
| CVE-2020-0353 | A-124777526 | DoS | Средний |
| CVE-2020-0362 | A-123237930 | DoS | Средний |
| CVE-2020-0363 | A-132274514 | DoS | Средний |
Система
| CVE | Ссылки | Тип | Уровень серьезности |
|---|---|---|---|
| CVE-2020-0266 | A-111086459 | EoP | Высокий |
| CVE-2020-0374 | A-156251602 | EoP | Высокий |
| CVE-2020-0375 | A-156253476 | EoP | Высокий |
| CVE-2020-0318 | A-33646131 | DoS | Высокий |
| CVE-2020-0354 | A-143604331 | RCE | Средний |
| CVE-2019-5094 | A-141639890 | EoP | Средний |
| CVE-2020-0089 | A-137015603 | EoP | Средний |
| CVE-2020-0262 | A-156353008 | EoP | Средний |
| CVE-2020-0268 | A-148294643 | EoP | Средний |
| CVE-2020-0271 | A-144507081 | EoP | Средний |
| CVE-2020-0273 | A-155646800 | EoP | Средний |
| CVE-2020-0298 | A-145129266 | EoP | Средний |
| CVE-2020-0299 | A-145130119 | EoP | Средний |
| CVE-2020-0309 | A-147227320 | EoP | Средний |
| CVE-2020-0319 | A-137868765 | EoP | Средний |
| CVE-2020-0326 | A-146453119 | EoP | Средний |
| CVE-2020-0334 | A-147995915 | EoP | Средний |
| CVE-2020-0335 | A-122361504 | EoP | Средний |
| CVE-2020-0347 | A-136658008 | EoP | Средний |
| CVE-2020-0350 | A-139424089 | EoP | Средний |
| CVE-2020-0405 | A-157475111 | EoP | Средний |
| CVE-2021-0846 | A-165596375 | ID | Средний |
| CVE-2021-0846 | A-165596375 | ID | Средний |
| CVE-2020-0263 | A-154913130 | ID | Средний |
| CVE-2020-0265 | A-150155839 | ID | Средний |
| CVE-2020-0269 | A-151645626 | ID | Средний |
| CVE-2020-0272 | A-130166487 | ID | Средний |
| CVE-2020-0276 | A-156253586 | ID | Средний |
| CVE-2020-0281 | A-137857778 | ID | Средний |
| CVE-2020-0282 | A-144506224 | ID | Средний |
| CVE-2020-0284 | A-156253784 | ID | Средний |
| CVE-2020-0285 | A-156253479 | ID | Средний |
| CVE-2020-0286 | A-150214479 | ID | Средний |
| CVE-2020-0291 | A-146032016 | ID | Средний |
| CVE-2020-0292 | A-110107252 | ID | Средний |
| CVE-2020-0295 | A-155650969 | ID | Средний |
| CVE-2020-0300 | A-148736216 | ID | Средний |
| CVE-2020-0302 | A-151646375 | ID | Средний |
| CVE-2020-0304 | A-151645695 | ID | Средний |
| CVE-2020-0307 | A-151645867 | ID | Средний |
| CVE-2020-0310 | A-153356468 | ID | Средний |
| CVE-2020-0311 | A-153878642 | ID | Средний |
| CVE-2020-0313 | A-154917989 | ID | Средний |
| CVE-2020-0315 | A-155642026 | ID | Средний |
| CVE-2020-0316 | A-154934919 | ID | Средний |
| CVE-2020-0325 | A-145079309 | ID | Средний |
| CVE-2020-0327 | A-129151407 | ID | Средний |
| CVE-2020-0331 | A-147309310 | ID | Средний |
| CVE-2020-0348 | A-139188582 | ID | Средний |
| CVE-2020-0349 | A-139188779 | ID | Средний |
| CVE-2020-0365 | A-137346580 | DoS | Средний |
Часто задаваемые вопросы
В этом разделе мы отвечаем на вопросы, которые могут возникнуть после прочтения бюллетеня.
1. Как определить, установлено ли на устройство обновление, в котором устранены перечисленные проблемы?
Информацию о том, как проверить уровень исправления системы безопасности на устройстве, можно найти в статье об обновлении версии Android.
В версии Android 11, опубликованной на сайте AOSP, по умолчанию используется исправление системы безопасности 2020-09-01. На устройствах Android 11 с исправлением 2020-09-01 или более новыми устранены все уязвимости, описанные в этих примечаниях к выпуску.
2. Что означают сокращения в столбце Тип?
В этом столбце указан тип уязвимости по следующей классификации:
| Сокращение | Описание |
|---|---|
| RCE | Удаленное выполнение кода |
| EoP | Повышение привилегий |
| ID | Раскрытие информации |
| DoS | Отказ в обслуживании |
| Н/Д | Классификация недоступна |
3. Что означает информация в столбце Ссылки?
В таблицах с описанием уязвимостей есть столбец Ссылки. Каждая запись в нем может содержать префикс, указывающий на источник ссылки, а именно:
| Префикс | Значение |
|---|---|
| A- | Идентификатор ошибки Android |
Версии
| Версия | Дата | Примечания |
|---|---|---|
| 1.0 | 25 августа 2020 г. | Опубликованы примечания о безопасности к выпуску. |
| 1.1 | 30 декабря 2020 г. | Обновлен список проблем. |
| 1.2 | 27 января 2021 г. | Обновлен список проблем. |
| 1.3 | 17 ноября 2021 г. | Обновлен список проблем. |