Дата публикации: 3 сентября 2019 г. | Дата обновления: 12 сентября 2019 г.
В этом бюллетене содержится информация об уязвимостях в защите и об улучшениях функциональных возможностей поддерживаемых устройств Pixel (устройств Google). Все проблемы устройств Google, перечисленные здесь и в бюллетене по безопасности Android за сентябрь 2019 года, устранены в исправлении 2019-09-05 и более новых. Информацию о том, как проверить уровень исправления системы безопасности на устройстве, можно найти в статье о сроках обновления ПО.
Обновление системы безопасности 2019-09-05 получат все поддерживаемые устройства Google. Мы настоятельно рекомендуем пользователям установить это обновление.
Объявления
Помимо исправлений уязвимостей, описанных в бюллетене по безопасности Android за сентябрь 2019 года, обновление до Android 10 на поддерживаемых устройствах Google также содержит исправления проблем, перечисленных ниже. Мы сообщили партнерам, что эти уязвимости устранены в Android 10.
Исправления системы безопасности
В таблицах ниже содержится информация об исправлениях системы безопасности на устройствах Pixel с Android 10. Уязвимости сгруппированы по компонентам, которые они затрагивают. Для каждого случая приведены описание и таблица, где указаны CVE, ссылки, тип уязвимости, уровень серьезности и, если применимо, версии AOSP. Где возможно, мы добавляем к идентификатору ошибки ссылку на опубликованное изменение (например, список AOSP). Если таких изменений несколько, дополнительные ссылки указываются в квадратных скобках.
Компоненты Broadcom
| CVE | Ссылки | Тип | Уровень серьезности | Компонент |
|---|---|---|---|---|
| CVE-2019-9426 | A-110460199* | EoP | Средний | Bluetooth |
Компоненты LG
| CVE | Ссылки | Тип | Уровень серьезности | Компонент |
|---|---|---|---|---|
| CVE-2019-9436 | A-127320561* | EoP | Средний | Загрузчик ОС |
| CVE-2019-2191 | A-68770980* | ID | Средний | Загрузчик ОС |
| CVE-2019-2190 | A-68771598* | ID | Средний | Загрузчик ОС |
Компоненты ядра
| CVE | Ссылки | Тип | Уровень серьезности | Компонент |
|---|---|---|---|---|
| CVE-2019-9345 | A-27915347* | EoP | Высокий | Kernel |
| CVE-2019-9461 | A-120209610* | ID | Высокий | VPN |
| CVE-2019-9248 | A-120279144* | EoP | Средний | Драйвер сенсорного экрана |
| CVE-2019-9270 | A-65123745* | EoP | Средний | Wi-Fi |
| CVE-2019-2182 | A-128700140 Upstream kernel |
EoP | Средний | Блок управления памятью ядра |
| CVE-2019-9271 | A-69006201* | EoP | Средний | Драйвер MNH |
| CVE-2019-9273 | A-70241598* | EoP | Средний | Драйвер сенсорного экрана |
| CVE-2019-9274 | A-70809925* | EoP | Средний | Драйвер MNH |
| CVE-2019-9275 | A-71508439* | EoP | Средний | Драйвер MNH |
| CVE-2019-9276 | A-70294179* | EoP | Средний | Драйвер сенсорного экрана |
| CVE-2019-9441 | A-69006882* | EoP | Средний | Драйвер MNH |
| CVE-2019-9442 | A-69808778* | EoP | Средний | Драйвер MNH |
| CVE-2019-9443 | A-70896844* | EoP | Средний | Драйвер VL53L0 |
| CVE-2019-9446 | A-118617506* | EoP | Средний | Драйвер сенсорного экрана |
| CVE-2019-9447 | A-119120571 Upstream kernel |
EoP | Средний | Драйвер сенсорного экрана |
| CVE-2019-9448 | A-120141999 Upstream kernel |
EoP | Средний | Драйвер сенсорного экрана |
| CVE-2019-9450 | A-120141034 Upstream kernel |
EoP | Средний | Драйвер сенсорного экрана |
| CVE-2019-9451 | A-120211415 Upstream kernel |
EoP | Средний | Драйвер сенсорного экрана |
| CVE-2019-9454 | A-129148475 Upstream kernel |
EoP | Средний | Драйвер I2C |
| CVE-2019-9456 | A-71362079 Upstream kernel |
EoP | Средний | USB-драйвер |
| CVE-2019-9457 | A-116716935 Upstream kernel |
EoP | Средний | Kernel |
| CVE-2019-9458 | A-117989855 Upstream kernel |
EoP | Средний | Видеодрайвер |
| CVE-2019-8912 | A-125367761 Upstream kernel |
EoP | Средний | Crypto |
| CVE-2018-18397 | A-124036248 Upstream kernel |
EoP | Средний | Хранилище |
| CVE-2018-14614 | A-116406552 Upstream kernel |
EoP | Средний | Хранилище |
| CVE-2018-1000199 | A-110918800 Upstream kernel |
EoP | Средний | ptrace |
| CVE-2018-13096 | A-113148557 Upstream kernel |
EoP | Средний | Хранилище |
| CVE-2018-5803 | A-112406370 Upstream kernel |
DoS | Средний | SCTP |
| CVE-2019-2189 | A-112312381 | EoP | Средний | Драйвер образа |
| CVE-2019-2188 | A-112309571* | EoP | Средний | Драйвер образа |
| CVE-2017-16939 | A-70521013 Upstream kernel |
EoP | Средний | Netlink XFRM |
| CVE-2018-20169 | A-120783657 Upstream kernel |
ID | Средний | USB-драйвер |
| CVE-2019-9245 | A-120491338 Upstream kernel |
ID | Средний | Драйвер хранилища |
| CVE-2019-9444 | A-78597155 Upstream kernel |
ID | Средний | Драйвер хранилища |
| CVE-2019-9445 | A-118153030 Upstream kernel |
ID | Средний | Драйвер хранилища |
| CVE-2019-9449 | A-120141031 Upstream kernel |
ID | Средний | Драйвер сенсорного экрана |
| CVE-2019-9452 | A-120211708 Upstream kernel |
ID | Средний | Драйвер сенсорного экрана |
| CVE-2019-9453 | A-126558260 Upstream kernel |
ID | Средний | Драйвер хранилища |
| CVE-2019-9455 | A-121035792 Upstream kernel |
ID | Средний | Видеодрайвер |
| CVE-2018-19985 | A-131963918 Upstream kernel |
ID | Средний | USB-драйвер |
| CVE-2018-20511 | A-123742046 Upstream kernel |
ID | Средний | nNet/AppleTalk |
| CVE-2018-1000204 | A-113096593 Upstream kernel |
ID | Средний | Хранилище |
Компоненты Qualcomm
| CVE | Ссылки | Тип | Уровень серьезности | Компонент |
|---|---|---|---|---|
| CVE-2017-14888 | A-70237718 QC-CR#2119729 |
– | Средний | Хост WLAN |
| CVE-2018-3573 | A-72957667 QC-CR#2124525 |
– | Средний | Загрузчик ОС |
| CVE-2017-15844 | A-67749071 QC-CR#2127276 |
– | Средний | Kernel |
| CVE-2018-3574 | A-72957321 QC-CR#2148121 [2] [3] |
– | Средний | Kernel |
| CVE-2018-5861 | A-77527684 QC-CR#2167135 |
– | Средний | Загрузчик ОС |
| CVE-2018-11302 | A-109741923 QC-CR#2209355 |
– | Средний | Хост WLAN |
| CVE-2018-5919 | A-65423852 QC-CR#2213280 |
– | Средний | Хост WLAN |
| CVE-2018-11818 | A-111127974 QC-CR#2170083 [2] |
– | Средний | Драйвер MDSS |
| CVE-2018-11832 | A-111127793 QC-CR#2212896 |
– | Средний | Kernel |
| CVE-2018-11893 | A-111127990 QC-CR#2231992 |
– | Средний | Хост WLAN |
| CVE-2018-11919 | A-79217930 QC-CR#2209134 [2] [3] |
– | Средний | Kernel |
| CVE-2018-11939 | A-77237693 QC-CR#2254305 |
– | Средний | Хост WLAN |
| CVE-2018-11823 | A-112277122 QC-CR#2204519 |
– | Средний | Питание |
| CVE-2018-11929 | A-112277631 QC-CR#2231300 |
– | Средний | Хост WLAN |
| CVE-2018-11943 | A-72117228 QC-CR#2257823 |
– | Средний | Загрузчик ОС |
| CVE-2018-11947 | A-112277911 QC-CR#2246110 [2] |
– | Средний | Хост WLAN |
| CVE-2018-11947 | A-112278406 QC-CR#2272696 |
– | Средний | Хост WLAN |
| CVE-2018-11942 | A-112278151 QC-CR#2257688 |
– | Средний | Хост WLAN |
| CVE-2018-11983 | A-80095430 QC-CR#2262576 |
– | Средний | Kernel |
| CVE-2018-11984 | A-80435805 QC-CR#2266693 |
– | Средний | Kernel |
| CVE-2018-11987 | A-70638103 QC-CR#2258691 |
– | Средний | Kernel |
| CVE-2018-11985 | A-114041193 QC-CR#2163851 |
– | Средний | Загрузчик ОС |
| CVE-2018-11988 | A-114041748 QC-CR#2172134 [2] |
– | Средний | Kernel |
| CVE-2018-11986 | A-62916765 QC-CR#2266969 |
– | Средний | Камера |
| CVE-2018-12010 | A-62711756 QC-CR#2268386 |
– | Средний | Kernel |
| CVE-2018-12006 | A-77237704 QC-CR#2257685 [2] |
– | Средний | Экран |
| CVE-2018-13893 | A-80302295 QC-CR#2291309 [2] |
– | Средний | diag_mask |
| CVE-2018-12011 | A-109697864 QC-CR#2274853 |
– | Средний | Kernel |
| CVE-2018-13912 | A-119053502 QC-CR#2283160 [2] |
– | Средний | Камера |
| CVE-2018-13913 | A-119053530 QC-CR#2286485 [2] |
– | Средний | Экран |
| CVE-2018-3564 | A-119052383 QC-CR#2225279 |
– | Средний | Сервисы DSP |
| CVE-2019-2248 | A-122474006 QC-CR#2328906 |
– | Средний | Экран |
| CVE-2019-2277 | A-127512945 QC-CR#2342812 |
– | Средний | Хост WLAN |
| CVE-2019-2263 | A-116024809 QC-CR#2076623 |
– | Средний | Kernel |
| CVE-2019-2345 | A-110849476 QC-CR#2115578 |
– | Средний | Камера |
| CVE-2019-2306 | A-115907574 QC-CR#2337383 [2] |
– | Средний | Экран |
| CVE-2019-2299 | A-117988970 QC-CR#2243169 |
– | Средний | Хост WLAN |
| CVE-2019-2312 | A-117885392 QC-CR#2341890 |
– | Средний | Хост WLAN |
| CVE-2019-2314 | A-120028144 QC-CR#2357704 |
– | Средний | Экран |
| CVE-2019-2314 | A-120029095 QC-CR#2357704 |
– | Средний | Экран |
| CVE-2019-2302 | A-130565935 QC-CR#2300516 |
– | Средний | Хост WLAN |
| CVE-2019-10506 | A-117885703 QC-CR#2252793 |
– | Средний | Хост WLAN |
| CVE-2018-13890 | A-111274306 QC-CR#2288818 |
– | Средний | Хост WLAN |
| CVE-2019-10507 | A-132170503 QC-CR#2253396 |
– | Средний | Хост WLAN |
| CVE-2019-10508 | A-132173922 QC-CR#2288818 |
– | Средний | Хост WLAN |
| CVE-2019-2284 | A-132173427 QC-CR#2358765 |
– | Средний | Камера |
| CVE-2019-2333 | A-132171964 QC-CR#2381014 [2] [3] |
– | Средний | Kernel |
| CVE-2019-2341 | A-132172264 QC-CR#2389324 [2] |
– | Средний | Аудио |
| CVE-2019-10497 | A-132173298 QC-CR#2395102 |
– | Средний | Аудио |
| CVE-2019-10542 | A-134440623 QC-CR#2359884 |
– | Средний | Хост WLAN |
| CVE-2019-10502 | A-134441002 QC-CR#2401297 [2] [3] |
– | Средний | Камера |
| CVE-2019-10528 | A-63528466 QC-CR#2133028 [2] |
– | Средний | Kernel |
| CVE-2018-11825 | A-117985523 QC-CR#2205722 |
– | Средний | Хост WLAN |
| CVE-2019-10565 | A-129275872 QC-CR#2213706 |
– | Средний | Камера |
Компоненты Qualcomm с закрытым исходным кодом
| CVE | Ссылки | Тип | Уровень серьезности | Компонент |
|---|---|---|---|---|
| CVE-2018-11899 | A-69383398* | – | Средний | Компонент с закрытым исходным кодом |
| CVE-2019-2298 | A-118897119* | – | Средний | Компонент с закрытым исходным кодом |
| CVE-2019-2281 | A-129765896* | – | Средний | Компонент с закрытым исходным кодом |
| CVE-2019-2343 | A-130566880* | – | Средний | Компонент с закрытым исходным кодом |
Функциональные исправления
Информацию о функциях операционной системы Android 10 можно найти в этом посте.
Часто задаваемые вопросы
В этом разделе мы отвечаем на вопросы, которые могут возникнуть после прочтения бюллетеня.
1. Как определить, установлено ли на устройство обновление, в котором устранены перечисленные проблемы?
В исправлении 2019-09-05 и более новых решены все проблемы, соответствующие исправлению системы безопасности 2019-09-05 и всем предыдущим исправлениям. Информацию о том, как проверить уровень исправления системы безопасности на устройстве, можно найти в статье о сроках обновления ПО.
2. Что означают сокращения в столбце Тип?
В этом столбце указан тип уязвимости по следующей классификации:
| Сокращение | Определение |
|---|---|
| RCE | Удаленное выполнение кода |
| EoP | Повышение уровня привилегий |
| ID | Раскрытие информации |
| DoS | Отказ в обслуживании |
| – | Классификация недоступна |
3. Что означает информация в столбце Ссылки?
В таблицах с описанием уязвимостей есть столбец Ссылки. Каждая запись в нем может содержать префикс, указывающий на источник ссылки, а именно:
| Префикс | Значение |
|---|---|
| A- | Идентификатор ошибки Android |
| QC- | Ссылочный номер Qualcomm |
| M- | Ссылочный номер MediaTek |
| N- | Ссылочный номер NVIDIA |
| B- | Ссылочный номер Broadcom |
4. Что означает символ * рядом с идентификатором ошибки Android в столбце Ссылки?
Символ * означает, что исправление для уязвимости не опубликовано. Необходимое обновление обычно содержится в последних исполняемых файлах драйверов для устройств Pixel, которые можно скачать с сайта Google Developers.
5. Почему теперь одни уязвимости описываются в этом бюллетене, а другие – в бюллетенях по безопасности Android?
В бюллетенях по безопасности Android описываются уязвимости, которые необходимо устранить для соответствия последнему уровню исправления системы безопасности Android. Решать для этого другие проблемы, например перечисленные здесь, необязательно.
Версии
| Версия | Дата | Примечания |
|---|---|---|
| 1.0 | 3 сентября 2019 г. | Бюллетень опубликован. |
| 1.1 | 12 сентября 2019 г. | Бюллетень обновлен. |