Опубликовано 25 августа 2020 г. | Обновлено 19 ноября 2021 г.
В примечаниях к выпуску системы безопасности Android содержится подробная информация об уязвимостях системы безопасности, затрагивающих устройства Android, которые устранены в рамках Android 11. Устройства Android 11 с уровнем исправления безопасности от 01 сентября 2020 г. или более поздней версии защищены от этих проблем (Android 11, выпущенная AOSP будет иметь уровень исправлений безопасности по умолчанию 1 сентября 2020 г.). Чтобы узнать, как проверить уровень исправлений безопасности устройства, см. раздел Проверка и обновление версии Android .
Партнеры Android уведомляются обо всех проблемах до публикации. Исправления исходного кода для устранения этих проблем будут опубликованы в репозитории Android Open Source Project (AOSP) как часть выпуска Android 11.
Оценка серьезности проблем в этих примечаниях к выпуску основана на влиянии, которое эксплуатация уязвимости может оказать на затронутое устройство, при условии, что платформа и средства смягчения последствий отключены в целях разработки или успешно обошли.
У нас не было сообщений об активном использовании клиентами или злоупотреблении этими недавно обнаруженными проблемами. Подробную информацию о средствах защиты платформы Android и Google Play Protect, которые повышают безопасность платформы Android, можно найти в разделе «Меры защиты Android и Google Play Protect».
Объявления
- Проблемы, описанные в этом документе, рассматриваются в Android 11. Эта информация предоставлена для справки и прозрачности.
- Мы хотели бы выразить признательность и поблагодарить сообщество исследователей безопасности за их постоянный вклад в обеспечение безопасности экосистемы Android.
Меры по смягчению последствий для Android и сервисов Google
Это краткий обзор мер, обеспечиваемых платформой безопасности Android и средствами защиты служб, такими как Google Play Protect . Эти возможности снижают вероятность успешного использования уязвимостей безопасности на Android.
- Использование многих проблем на Android усложняется из-за усовершенствований в новых версиях платформы Android. Мы рекомендуем всем пользователям по возможности обновиться до последней версии Android.
- Команда безопасности Android активно отслеживает злоупотребления с помощью Google Play Protect и предупреждает пользователей о потенциально вредных приложениях . Google Play Protect включен по умолчанию на устройствах с Google Mobile Services и особенно важен для пользователей, которые устанавливают приложения не из Google Play.
Подробности об уязвимости Android 11
В разделах ниже представлена подробная информация об уязвимостях безопасности, исправленных в Android 11. Уязвимости сгруппированы по компонентам, на которые они влияют, и включают такие сведения, как CVE, связанные ссылки, тип уязвимости и серьезность .
среда выполнения Android
| CVE | Рекомендации | Тип | Строгость |
|---|---|---|---|
| CVE-2020-0330 | А-150331085 | окончание срока действия | Умеренный |
Рамки
| CVE | Рекомендации | Тип | Строгость |
|---|---|---|---|
| CVE-2020-0267 | А-139128211 | окончание срока действия | Критический |
| CVE-2020-0275 | А-150507736 | окончание срока действия | Высокий |
| CVE-2020-27098 | А-138791358 | окончание срока действия | Высокий |
| CVE-2020-0337 | А-124329382 | ИДЕНТИФИКАТОР | Высокий |
| CVE-2020-27097 | А-140729426 | ИДЕНТИФИКАТОР | Высокий |
| CVE-2020-0333 | А-73822755 | РЦЭ | Умеренный |
| CVE-2019-13734 | А-147323008 | окончание срока действия | Умеренный |
| CVE-2019-13752 | А-147320136 | окончание срока действия | Умеренный |
| CVE-2019-13753 | А-147320314 | окончание срока действия | Умеренный |
| CVE-2020-0130 | А-123230379 | окончание срока действия | Умеренный |
| CVE-2020-0277 | А-148627993 | окончание срока действия | Умеренный |
| CVE-2020-0341 | А-144920149 | окончание срока действия | Умеренный |
| CVE-2020-0345 | А-144286721 | окончание срока действия | Умеренный |
| CVE-2020-0366 | А-138443815 | окончание срока действия | Умеренный |
| CVE-2019-13751 | А-147322738 | ИДЕНТИФИКАТОР | Умеренный |
| CVE-2020-0288 | А-153995991 | ИДЕНТИФИКАТОР | Умеренный |
| CVE-2020-0289 | А-153996872 | ИДЕНТИФИКАТОР | Умеренный |
| CVE-2020-0290 | А-153996866 | ИДЕНТИФИКАТОР | Умеренный |
| CVE-2020-0293 | А-141455849 | ИДЕНТИФИКАТОР | Умеренный |
| CVE-2020-0296 | А-153356209 | ИДЕНТИФИКАТОР | Умеренный |
| CVE-2020-0297 | А-155183624 | ИДЕНТИФИКАТОР | Умеренный |
| CVE-2020-0308 | А-153654357 | ИДЕНТИФИКАТОР | Умеренный |
| CVE-2020-0312 | А-153879099 | ИДЕНТИФИКАТОР | Умеренный |
| CVE-2020-0317 | А-119671929 | ИДЕНТИФИКАТОР | Умеренный |
| CVE-2020-0343 | А-119672472 | ИДЕНТИФИКАТОР | Умеренный |
| CVE-2020-0352 | А-132074310 | ИДЕНТИФИКАТОР | Умеренный |
| CVE-2020-0372 | А-119673147 | ИДЕНТИФИКАТОР | Умеренный |
Библиотека
| CVE | Рекомендации | Тип | Строгость |
|---|---|---|---|
| CVE-2020-0369 | А-130231426 | окончание срока действия | Умеренный |
| CVE-2019-8842 | А-141551144 | ИДЕНТИФИКАТОР | Умеренный |
| CVE-2020-0322 | А-147002540 | ИДЕНТИФИКАТОР | Умеренный |
| CVE-2020-0323 | А-146516087 | ИДЕНТИФИКАТОР | Умеренный |
| CVE-2020-0425 | А-124000380 | ИДЕНТИФИКАТОР | Высокий |
| CVE-2020-0426 | А-154921790 | ИДЕНТИФИКАТОР | Умеренный |
| CVE-2020-3898 | А-111450151 | ИДЕНТИФИКАТОР | Умеренный |
Медиа-фреймворк
| CVE | Рекомендации | Тип | Строгость |
|---|---|---|---|
| CVE-2020-0264 | А-116718596 | РЦЭ | Умеренный |
| CVE-2020-0303 | А-148223229 | РЦЭ | Умеренный |
| CVE-2020-0321 | А-155171907 | РЦЭ | Умеренный |
| CVE-2020-0306 | А-139666480 | окончание срока действия | Умеренный |
| CVE-2020-0336 | А-153467444 | окончание срока действия | Умеренный |
| CVE-2020-0346 | А-147002762 | окончание срока действия | Умеренный |
| CVE-2020-0356 | А-143787559 | окончание срока действия | Умеренный |
| CVE-2020-0357 | А-150225569 | окончание срока действия | Умеренный |
| CVE-2020-0358 | А-150227563 | окончание срока действия | Умеренный |
| CVE-2020-0360 | А-145129456 | окончание срока действия | Умеренный |
| CVE-2020-0406 | А-137794014 | окончание срока действия | Умеренный |
| CVE-2020-0125 | А-137282168 | ИДЕНТИФИКАТОР | Умеренный |
| CVE-2020-0270 | А-145790628 | ИДЕНТИФИКАТОР | Умеренный |
| CVE-2020-0274 | А-120781925 | ИДЕНТИФИКАТОР | Умеренный |
| CVE-2020-0279 | А-131430997 | ИДЕНТИФИКАТОР | Умеренный |
| CVE-2020-0314 | А-154934920 | ИДЕНТИФИКАТОР | Умеренный |
| CVE-2020-0324 | А-136660304 | ИДЕНТИФИКАТОР | Умеренный |
| CVE-2020-0328 | А-150156131 | ИДЕНТИФИКАТОР | Умеренный |
| CVE-2020-0329 | А-63522940 | ИДЕНТИФИКАТОР | Умеренный |
| CVE-2020-0340 | А-144901522 | ИДЕНТИФИКАТОР | Умеренный |
| CVE-2020-0344 | А-140729887 | ИДЕНТИФИКАТОР | Умеренный |
| CVE-2020-0355 | А-141883493 | ИДЕНТИФИКАТОР | Умеренный |
| CVE-2020-0359 | А-150303018 | ИДЕНТИФИКАТОР | Умеренный |
| CVE-2020-0361 | А-151927433 | ИДЕНТИФИКАТОР | Умеренный |
| CVE-2020-0364 | А-137282770 | ИДЕНТИФИКАТОР | Умеренный |
| CVE-2020-0370 | А-112051700 | ИДЕНТИФИКАТОР | Умеренный |
| CVE-2020-0373 | А-146894086 | ИДЕНТИФИКАТОР | Умеренный |
| CVE-2020-0287 | А-141860394 | DoS | Умеренный |
| CVE-2020-0301 | А-124940460 | DoS | Умеренный |
| CVE-2020-0320 | А-129282427 | DoS | Умеренный |
| CVE-2020-0332 | А-124783982 | DoS | Умеренный |
| CVE-2020-0351 | А-124777537 | DoS | Умеренный |
| CVE-2020-0353 | А-124777526 | DoS | Умеренный |
| CVE-2020-0362 | А-123237930 | DoS | Умеренный |
| CVE-2020-0363 | А-132274514 | DoS | Умеренный |
Система
| CVE | Рекомендации | Тип | Строгость |
|---|---|---|---|
| CVE-2020-0266 | А-111086459 | окончание срока действия | Высокий |
| CVE-2020-0374 | А-156251602 | окончание срока действия | Высокий |
| CVE-2020-0375 | А-156253476 | окончание срока действия | Высокий |
| CVE-2020-0318 | А-33646131 | DoS | Высокий |
| CVE-2020-0354 | А-143604331 | РЦЭ | Умеренный |
| CVE-2019-5094 | А-141639890 | окончание срока действия | Умеренный |
| CVE-2020-0089 | А-137015603 | окончание срока действия | Умеренный |
| CVE-2020-0262 | А-156353008 | окончание срока действия | Умеренный |
| CVE-2020-0268 | А-148294643 | окончание срока действия | Умеренный |
| CVE-2020-0271 | А-144507081 | окончание срока действия | Умеренный |
| CVE-2020-0273 | А-155646800 | окончание срока действия | Умеренный |
| CVE-2020-0298 | А-145129266 | окончание срока действия | Умеренный |
| CVE-2020-0299 | А-145130119 | окончание срока действия | Умеренный |
| CVE-2020-0309 | А-147227320 | окончание срока действия | Умеренный |
| CVE-2020-0319 | А-137868765 | окончание срока действия | Умеренный |
| CVE-2020-0326 | А-146453119 | окончание срока действия | Умеренный |
| CVE-2020-0334 | А-147995915 | окончание срока действия | Умеренный |
| CVE-2020-0335 | А-122361504 | окончание срока действия | Умеренный |
| CVE-2020-0347 | А-136658008 | окончание срока действия | Умеренный |
| CVE-2020-0350 | А-139424089 | окончание срока действия | Умеренный |
| CVE-2020-0405 | А-157475111 | окончание срока действия | Умеренный |
| CVE-2021-0846 | А-165596375 | ИДЕНТИФИКАТОР | Умеренный |
| CVE-2021-0846 | А-165596375 | ИДЕНТИФИКАТОР | Умеренный |
| CVE-2020-0263 | А-154913130 | ИДЕНТИФИКАТОР | Умеренный |
| CVE-2020-0265 | А-150155839 | ИДЕНТИФИКАТОР | Умеренный |
| CVE-2020-0269 | А-151645626 | ИДЕНТИФИКАТОР | Умеренный |
| CVE-2020-0272 | А-130166487 | ИДЕНТИФИКАТОР | Умеренный |
| CVE-2020-0276 | А-156253586 | ИДЕНТИФИКАТОР | Умеренный |
| CVE-2020-0281 | А-137857778 | ИДЕНТИФИКАТОР | Умеренный |
| CVE-2020-0282 | А-144506224 | ИДЕНТИФИКАТОР | Умеренный |
| CVE-2020-0284 | А-156253784 | ИДЕНТИФИКАТОР | Умеренный |
| CVE-2020-0285 | А-156253479 | ИДЕНТИФИКАТОР | Умеренный |
| CVE-2020-0286 | А-150214479 | ИДЕНТИФИКАТОР | Умеренный |
| CVE-2020-0291 | А-146032016 | ИДЕНТИФИКАТОР | Умеренный |
| CVE-2020-0292 | А-110107252 | ИДЕНТИФИКАТОР | Умеренный |
| CVE-2020-0295 | А-155650969 | ИДЕНТИФИКАТОР | Умеренный |
| CVE-2020-0300 | А-148736216 | ИДЕНТИФИКАТОР | Умеренный |
| CVE-2020-0302 | А-151646375 | ИДЕНТИФИКАТОР | Умеренный |
| CVE-2020-0304 | А-151645695 | ИДЕНТИФИКАТОР | Умеренный |
| CVE-2020-0307 | А-151645867 | ИДЕНТИФИКАТОР | Умеренный |
| CVE-2020-0310 | А-153356468 | ИДЕНТИФИКАТОР | Умеренный |
| CVE-2020-0311 | А-153878642 | ИДЕНТИФИКАТОР | Умеренный |
| CVE-2020-0313 | А-154917989 | ИДЕНТИФИКАТОР | Умеренный |
| CVE-2020-0315 | А-155642026 | ИДЕНТИФИКАТОР | Умеренный |
| CVE-2020-0316 | А-154934919 | ИДЕНТИФИКАТОР | Умеренный |
| CVE-2020-0325 | А-145079309 | ИДЕНТИФИКАТОР | Умеренный |
| CVE-2020-0327 | А-129151407 | ИДЕНТИФИКАТОР | Умеренный |
| CVE-2020-0331 | А-147309310 | ИДЕНТИФИКАТОР | Умеренный |
| CVE-2020-0348 | А-139188582 | ИДЕНТИФИКАТОР | Умеренный |
| CVE-2020-0349 | А-139188779 | ИДЕНТИФИКАТОР | Умеренный |
| CVE-2020-0365 | А-137346580 | DoS | Умеренный |
Общие вопросы и ответы
В этом разделе даны ответы на распространенные вопросы, которые могут возникнуть после прочтения этого бюллетеня.
1. Как определить, обновлено ли мое устройство для устранения этих проблем?
Чтобы узнать, как проверить уровень исправлений безопасности устройства, см. раздел Проверка и обновление версии Android .
Android 11, выпущенный на AOSP, имеет уровень исправлений безопасности по умолчанию — 01 сентября 2020 г. Устройства Android под управлением Android 11 с уровнем исправления безопасности 01.09.2020 или более поздней версии устраняют все проблемы, описанные в этих примечаниях к выпуску безопасности.
2. Что означают записи в столбце «Тип» ?
Записи в столбце «Тип» таблицы сведений об уязвимости относятся к классификации уязвимости безопасности.
| Сокращение | Определение |
|---|---|
| РЦЭ | Удаленное выполнение кода |
| окончание срока действия | Повышение привилегий |
| ИДЕНТИФИКАТОР | Раскрытие информации |
| DoS | Отказ в обслуживании |
| Н/Д | Классификация недоступна |
3. Что означают записи в столбце «Ссылки» ?
Записи в столбце «Ссылки» таблицы сведений об уязвимостях могут содержать префикс, идентифицирующий организацию, которой принадлежит ссылочное значение.
| Префикс | Ссылка |
|---|---|
| А- | Идентификатор ошибки Android |
Версии
| Версия | Дата | Примечания |
|---|---|---|
| 1.0 | 25 августа 2020 г. | Опубликованы примечания к выпуску безопасности |
| 1.1 | 30 декабря 2020 г. | Обновленный список проблем |
| 1.2 | 27 января 2021 г. | Обновленный список проблем |
| 1.3 | 17 ноября 2021 г. | Обновленный список проблем |