Примечания к выпуску безопасности Android 11

Опубликовано 25 августа 2020 г. | Обновлено 19 ноября 2021 г.

В примечаниях к выпуску системы безопасности Android содержится подробная информация об уязвимостях системы безопасности, затрагивающих устройства Android, которые устранены в рамках Android 11. Устройства Android 11 с уровнем исправления безопасности от 01 сентября 2020 г. или более поздней версии защищены от этих проблем (Android 11, выпущенная AOSP будет иметь уровень исправлений безопасности по умолчанию 1 сентября 2020 г.). Чтобы узнать, как проверить уровень исправлений безопасности устройства, см. раздел Проверка и обновление версии Android .

Партнеры Android уведомляются обо всех проблемах до публикации. Исправления исходного кода для устранения этих проблем будут опубликованы в репозитории Android Open Source Project (AOSP) как часть выпуска Android 11.

Оценка серьезности проблем в этих примечаниях к выпуску основана на влиянии, которое эксплуатация уязвимости может оказать на затронутое устройство, при условии, что платформа и средства смягчения последствий отключены в целях разработки или успешно обошли.

У нас не было сообщений об активном использовании клиентами или злоупотреблении этими недавно обнаруженными проблемами. Подробную информацию о средствах защиты платформы Android и Google Play Protect, которые повышают безопасность платформы Android, можно найти в разделе «Меры защиты Android и Google Play Protect».

Объявления

  • Проблемы, описанные в этом документе, рассматриваются в Android 11. Эта информация предоставлена ​​для справки и прозрачности.
  • Мы хотели бы выразить признательность и поблагодарить сообщество исследователей безопасности за их постоянный вклад в обеспечение безопасности экосистемы Android.

Меры по смягчению последствий для Android и сервисов Google

Это краткий обзор мер, обеспечиваемых платформой безопасности Android и средствами защиты служб, такими как Google Play Protect . Эти возможности снижают вероятность успешного использования уязвимостей безопасности на Android.

  • Использование многих проблем на Android усложняется из-за усовершенствований в новых версиях платформы Android. Мы рекомендуем всем пользователям по возможности обновиться до последней версии Android.
  • Команда безопасности Android активно отслеживает злоупотребления с помощью Google Play Protect и предупреждает пользователей о потенциально вредных приложениях . Google Play Protect включен по умолчанию на устройствах с Google Mobile Services и особенно важен для пользователей, которые устанавливают приложения не из Google Play.

Подробности об уязвимости Android 11

В разделах ниже представлена ​​подробная информация об уязвимостях безопасности, исправленных в Android 11. Уязвимости сгруппированы по компонентам, на которые они влияют, и включают такие сведения, как CVE, связанные ссылки, тип уязвимости и серьезность .

среда выполнения Android

CVE Рекомендации Тип Строгость
CVE-2020-0330 А-150331085 окончание срока действия Умеренный

Рамки

CVE Рекомендации Тип Строгость
CVE-2020-0267 А-139128211 окончание срока действия Критический
CVE-2020-0275 А-150507736 окончание срока действия Высокий
CVE-2020-27098 А-138791358 окончание срока действия Высокий
CVE-2020-0337 А-124329382 ИДЕНТИФИКАТОР Высокий
CVE-2020-27097 А-140729426 ИДЕНТИФИКАТОР Высокий
CVE-2020-0333 А-73822755 РЦЭ Умеренный
CVE-2019-13734 А-147323008 окончание срока действия Умеренный
CVE-2019-13752 А-147320136 окончание срока действия Умеренный
CVE-2019-13753 А-147320314 окончание срока действия Умеренный
CVE-2020-0130 А-123230379 окончание срока действия Умеренный
CVE-2020-0277 А-148627993 окончание срока действия Умеренный
CVE-2020-0341 А-144920149 окончание срока действия Умеренный
CVE-2020-0345 А-144286721 окончание срока действия Умеренный
CVE-2020-0366 А-138443815 окончание срока действия Умеренный
CVE-2019-13751 А-147322738 ИДЕНТИФИКАТОР Умеренный
CVE-2020-0288 А-153995991 ИДЕНТИФИКАТОР Умеренный
CVE-2020-0289 А-153996872 ИДЕНТИФИКАТОР Умеренный
CVE-2020-0290 А-153996866 ИДЕНТИФИКАТОР Умеренный
CVE-2020-0293 А-141455849 ИДЕНТИФИКАТОР Умеренный
CVE-2020-0296 А-153356209 ИДЕНТИФИКАТОР Умеренный
CVE-2020-0297 А-155183624 ИДЕНТИФИКАТОР Умеренный
CVE-2020-0308 А-153654357 ИДЕНТИФИКАТОР Умеренный
CVE-2020-0312 А-153879099 ИДЕНТИФИКАТОР Умеренный
CVE-2020-0317 А-119671929 ИДЕНТИФИКАТОР Умеренный
CVE-2020-0343 А-119672472 ИДЕНТИФИКАТОР Умеренный
CVE-2020-0352 А-132074310 ИДЕНТИФИКАТОР Умеренный
CVE-2020-0372 А-119673147 ИДЕНТИФИКАТОР Умеренный

Библиотека

CVE Рекомендации Тип Строгость
CVE-2020-0369 А-130231426 окончание срока действия Умеренный
CVE-2019-8842 А-141551144 ИДЕНТИФИКАТОР Умеренный
CVE-2020-0322 А-147002540 ИДЕНТИФИКАТОР Умеренный
CVE-2020-0323 А-146516087 ИДЕНТИФИКАТОР Умеренный
CVE-2020-0425 А-124000380 ИДЕНТИФИКАТОР Высокий
CVE-2020-0426 А-154921790 ИДЕНТИФИКАТОР Умеренный
CVE-2020-3898 А-111450151 ИДЕНТИФИКАТОР Умеренный

Медиа-фреймворк

CVE Рекомендации Тип Строгость
CVE-2020-0264 А-116718596 РЦЭ Умеренный
CVE-2020-0303 А-148223229 РЦЭ Умеренный
CVE-2020-0321 А-155171907 РЦЭ Умеренный
CVE-2020-0306 А-139666480 окончание срока действия Умеренный
CVE-2020-0336 А-153467444 окончание срока действия Умеренный
CVE-2020-0346 А-147002762 окончание срока действия Умеренный
CVE-2020-0356 А-143787559 окончание срока действия Умеренный
CVE-2020-0357 А-150225569 окончание срока действия Умеренный
CVE-2020-0358 А-150227563 окончание срока действия Умеренный
CVE-2020-0360 А-145129456 окончание срока действия Умеренный
CVE-2020-0406 А-137794014 окончание срока действия Умеренный
CVE-2020-0125 А-137282168 ИДЕНТИФИКАТОР Умеренный
CVE-2020-0270 А-145790628 ИДЕНТИФИКАТОР Умеренный
CVE-2020-0274 А-120781925 ИДЕНТИФИКАТОР Умеренный
CVE-2020-0279 А-131430997 ИДЕНТИФИКАТОР Умеренный
CVE-2020-0314 А-154934920 ИДЕНТИФИКАТОР Умеренный
CVE-2020-0324 А-136660304 ИДЕНТИФИКАТОР Умеренный
CVE-2020-0328 А-150156131 ИДЕНТИФИКАТОР Умеренный
CVE-2020-0329 А-63522940 ИДЕНТИФИКАТОР Умеренный
CVE-2020-0340 А-144901522 ИДЕНТИФИКАТОР Умеренный
CVE-2020-0344 А-140729887 ИДЕНТИФИКАТОР Умеренный
CVE-2020-0355 А-141883493 ИДЕНТИФИКАТОР Умеренный
CVE-2020-0359 А-150303018 ИДЕНТИФИКАТОР Умеренный
CVE-2020-0361 А-151927433 ИДЕНТИФИКАТОР Умеренный
CVE-2020-0364 А-137282770 ИДЕНТИФИКАТОР Умеренный
CVE-2020-0370 А-112051700 ИДЕНТИФИКАТОР Умеренный
CVE-2020-0373 А-146894086 ИДЕНТИФИКАТОР Умеренный
CVE-2020-0287 А-141860394 DoS Умеренный
CVE-2020-0301 А-124940460 DoS Умеренный
CVE-2020-0320 А-129282427 DoS Умеренный
CVE-2020-0332 А-124783982 DoS Умеренный
CVE-2020-0351 А-124777537 DoS Умеренный
CVE-2020-0353 А-124777526 DoS Умеренный
CVE-2020-0362 А-123237930 DoS Умеренный
CVE-2020-0363 А-132274514 DoS Умеренный

Система

CVE Рекомендации Тип Строгость
CVE-2020-0266 А-111086459 окончание срока действия Высокий
CVE-2020-0374 А-156251602 окончание срока действия Высокий
CVE-2020-0375 А-156253476 окончание срока действия Высокий
CVE-2020-0318 А-33646131 DoS Высокий
CVE-2020-0354 А-143604331 РЦЭ Умеренный
CVE-2019-5094 А-141639890 окончание срока действия Умеренный
CVE-2020-0089 А-137015603 окончание срока действия Умеренный
CVE-2020-0262 А-156353008 окончание срока действия Умеренный
CVE-2020-0268 А-148294643 окончание срока действия Умеренный
CVE-2020-0271 А-144507081 окончание срока действия Умеренный
CVE-2020-0273 А-155646800 окончание срока действия Умеренный
CVE-2020-0298 А-145129266 окончание срока действия Умеренный
CVE-2020-0299 А-145130119 окончание срока действия Умеренный
CVE-2020-0309 А-147227320 окончание срока действия Умеренный
CVE-2020-0319 А-137868765 окончание срока действия Умеренный
CVE-2020-0326 А-146453119 окончание срока действия Умеренный
CVE-2020-0334 А-147995915 окончание срока действия Умеренный
CVE-2020-0335 А-122361504 окончание срока действия Умеренный
CVE-2020-0347 А-136658008 окончание срока действия Умеренный
CVE-2020-0350 А-139424089 окончание срока действия Умеренный
CVE-2020-0405 А-157475111 окончание срока действия Умеренный
CVE-2021-0846 А-165596375 ИДЕНТИФИКАТОР Умеренный
CVE-2021-0846 А-165596375 ИДЕНТИФИКАТОР Умеренный
CVE-2020-0263 А-154913130 ИДЕНТИФИКАТОР Умеренный
CVE-2020-0265 А-150155839 ИДЕНТИФИКАТОР Умеренный
CVE-2020-0269 А-151645626 ИДЕНТИФИКАТОР Умеренный
CVE-2020-0272 А-130166487 ИДЕНТИФИКАТОР Умеренный
CVE-2020-0276 А-156253586 ИДЕНТИФИКАТОР Умеренный
CVE-2020-0281 А-137857778 ИДЕНТИФИКАТОР Умеренный
CVE-2020-0282 А-144506224 ИДЕНТИФИКАТОР Умеренный
CVE-2020-0284 А-156253784 ИДЕНТИФИКАТОР Умеренный
CVE-2020-0285 А-156253479 ИДЕНТИФИКАТОР Умеренный
CVE-2020-0286 А-150214479 ИДЕНТИФИКАТОР Умеренный
CVE-2020-0291 А-146032016 ИДЕНТИФИКАТОР Умеренный
CVE-2020-0292 А-110107252 ИДЕНТИФИКАТОР Умеренный
CVE-2020-0295 А-155650969 ИДЕНТИФИКАТОР Умеренный
CVE-2020-0300 А-148736216 ИДЕНТИФИКАТОР Умеренный
CVE-2020-0302 А-151646375 ИДЕНТИФИКАТОР Умеренный
CVE-2020-0304 А-151645695 ИДЕНТИФИКАТОР Умеренный
CVE-2020-0307 А-151645867 ИДЕНТИФИКАТОР Умеренный
CVE-2020-0310 А-153356468 ИДЕНТИФИКАТОР Умеренный
CVE-2020-0311 А-153878642 ИДЕНТИФИКАТОР Умеренный
CVE-2020-0313 А-154917989 ИДЕНТИФИКАТОР Умеренный
CVE-2020-0315 А-155642026 ИДЕНТИФИКАТОР Умеренный
CVE-2020-0316 А-154934919 ИДЕНТИФИКАТОР Умеренный
CVE-2020-0325 А-145079309 ИДЕНТИФИКАТОР Умеренный
CVE-2020-0327 А-129151407 ИДЕНТИФИКАТОР Умеренный
CVE-2020-0331 А-147309310 ИДЕНТИФИКАТОР Умеренный
CVE-2020-0348 А-139188582 ИДЕНТИФИКАТОР Умеренный
CVE-2020-0349 А-139188779 ИДЕНТИФИКАТОР Умеренный
CVE-2020-0365 А-137346580 DoS Умеренный

Общие вопросы и ответы

В этом разделе даны ответы на распространенные вопросы, которые могут возникнуть после прочтения этого бюллетеня.

1. Как определить, обновлено ли мое устройство для устранения этих проблем?

Чтобы узнать, как проверить уровень исправлений безопасности устройства, см. раздел Проверка и обновление версии Android .

Android 11, выпущенный на AOSP, имеет уровень исправлений безопасности по умолчанию — 01 сентября 2020 г. Устройства Android под управлением Android 11 с уровнем исправления безопасности 01.09.2020 или более поздней версии устраняют все проблемы, описанные в этих примечаниях к выпуску безопасности.

2. Что означают записи в столбце «Тип» ?

Записи в столбце «Тип» таблицы сведений об уязвимости относятся к классификации уязвимости безопасности.

Сокращение Определение
РЦЭ Удаленное выполнение кода
окончание срока действия Повышение привилегий
ИДЕНТИФИКАТОР Раскрытие информации
DoS Отказ в обслуживании
Н/Д Классификация недоступна

3. Что означают записи в столбце «Ссылки» ?

Записи в столбце «Ссылки» таблицы сведений об уязвимостях могут содержать префикс, идентифицирующий организацию, которой принадлежит ссылочное значение.

Префикс Ссылка
А- Идентификатор ошибки Android

Версии

Версия Дата Примечания
1.0 25 августа 2020 г. Опубликованы примечания к выпуску безопасности
1.1 30 декабря 2020 г. Обновленный список проблем
1.2 27 января 2021 г. Обновленный список проблем
1.3 17 ноября 2021 г. Обновленный список проблем