Pixel 更新公告 - 2019 年 9 月

發布日期:2019 年 9 月 3 日 | 更新日期:2019 年 9 月 12 日

Pixel 更新公告列舉對支援的 Pixel 裝置 (Google 裝置) 造成影響的安全性漏洞和功能改善項目,並說明各項相關細節。2019-09-05 之後的安全性修補程式等級也已針對 Google 裝置解決了這個公告和 2019 年 9 月 Android 安全性公告列出的所有問題。請參閱檢查及更新 Android 版本一文,瞭解如何查看裝置的安全性修補程式等級。

所有支援的 Google 裝置都會收到 2019-09-05 修補程式等級更新。我們建議所有客戶接受這些裝置更新。

公告事項

我們已修補 2019 年 9 月 Android 安全性公告中所列出的安全性漏洞。此外,如果支援的 Google 裝置已更新到 Android 10,我們也會針對下文列出的安全性漏洞提供修補程式。我們已告知合作夥伴,這些問題在 Android 10 中已獲得解決。

安全性修補程式

下表針對搭載 Android 10 的 Pixel 裝置列出安全性修補程式相關資訊。我們依照資安問題本身所影響的元件將各項漏洞分門別類,並將問題相關資訊列於下表,包括 CVE ID、相關參考資料、漏洞類型嚴重程度,以及更新的 Android 開放原始碼計畫 (AOSP) 版本 (在適用情況下)。假如相關錯誤有公開變更,該錯誤 ID 會連結到相對應的變更 (例如 Android 開放原始碼計畫變更清單)。如果單一錯誤有多項相關變更,您可以透過該錯誤 ID 後面的編號連結開啟額外的參考資料。

Broadcom 元件

CVE 參考資料 類型 嚴重程度 元件
CVE-2019-9426 A-110460199* EoP 藍牙

LG 元件

CVE 參考資料 類型 嚴重程度 元件
CVE-2019-9436 A-127320561* EoP 系統啟動載入程式
CVE-2019-2191 A-68770980* ID 系統啟動載入程式
CVE-2019-2190 A-68771598* ID 系統啟動載入程式

核心元件

CVE 參考資料 類型 嚴重程度 元件
CVE-2019-9345 A-27915347* EoP 核心
CVE-2019-9461 A-120209610* ID VPN
CVE-2019-9248 A-120279144* EoP 觸控驅動程式
CVE-2019-9270 A-65123745* EoP Wi-Fi
CVE-2019-2182 A-128700140
上游程式庫核心
EoP 核心 MMU
CVE-2019-9271 A-69006201* EoP MNH 驅動程式
CVE-2019-9273 A-70241598* EoP 觸控驅動程式
CVE-2019-9274 A-70809925* EoP MNH 驅動程式
CVE-2019-9275 A-71508439* EoP MNH 驅動程式
CVE-2019-9276 A-70294179* EoP 觸控驅動程式
CVE-2019-9441 A-69006882* EoP MNH 驅動程式
CVE-2019-9442 A-69808778* EoP MNH 驅動程式
CVE-2019-9443 A-70896844* EoP VL53L0 驅動程式
CVE-2019-9446 A-118617506* EoP 觸控驅動程式
CVE-2019-9447 A-119120571
上游程式庫核心
EoP 觸控驅動程式
CVE-2019-9448 A-120141999
上游程式庫核心
EoP 觸控驅動程式
CVE-2019-9450 A-120141034
上游程式庫核心
EoP 觸控驅動程式
CVE-2019-9451 A-120211415
上游程式庫核心
EoP 觸控驅動程式
CVE-2019-9454 A-129148475
上游程式庫核心
EoP I2C 驅動程式
CVE-2019-9456 A-71362079
上游程式庫核心
EoP USB 驅動程式
CVE-2019-9457 A-116716935
上游程式庫核心
EoP 核心
CVE-2019-9458 A-117989855
上游程式庫核心
EoP 視訊驅動程式
CVE-2019-8912 A-125367761
上游程式庫核心
EoP 加密編譯
CVE-2018-18397 A-124036248
上游程式庫核心
EoP 儲存空間
CVE-2018-14614 A-116406552
上游程式庫核心
EoP 儲存空間
CVE-2018-1000199 A-110918800
上游程式庫核心
EoP ptrace
CVE-2018-13096 A-113148557
上游程式庫核心
EoP 儲存空間
CVE-2018-5803 A-112406370
上游程式庫核心
DoS SCTP
CVE-2019-2189 A-112312381 EoP 圖像驅動程式
CVE-2019-2188 A-112309571* EoP 圖像驅動程式
CVE-2017-16939 A-70521013
上游程式庫核心
EoP Netlink XFRM
CVE-2018-20169 A-120783657
上游程式庫核心
ID USB 驅動程式
CVE-2019-9245 A-120491338
上游程式庫核心
ID 儲存空間驅動程式
CVE-2019-9444 A-78597155
上游程式庫核心
ID 儲存空間驅動程式
CVE-2019-9445 A-118153030
上游程式庫核心
ID 儲存空間驅動程式
CVE-2019-9449 A-120141031
上游程式庫核心
ID 觸控驅動程式
CVE-2019-9452 A-120211708
上游程式庫核心
ID 觸控驅動程式
CVE-2019-9453 A-126558260
上游程式庫核心
ID 儲存空間驅動程式
CVE-2019-9455 A-121035792
上游程式庫核心
ID 視訊驅動程式
CVE-2018-19985 A-131963918
上游程式庫核心
ID USB 驅動程式
CVE-2018-20511 A-123742046
上游程式庫核心
ID nNet/AppleTalk
CVE-2018-1000204 A-113096593
上游程式庫核心
ID 儲存空間

Qualcomm 元件

CVE 參考資料 類型 嚴重程度 元件
CVE-2017-14888 A-70237718
QC-CR#2119729
WLAN 主機
CVE-2018-3573 A-72957667
QC-CR#2124525
系統啟動載入程式
CVE-2017-15844 A-67749071
QC-CR#2127276
核心
CVE-2018-3574 A-72957321
QC-CR#2148121 [2] [3]
核心
CVE-2018-5861 A-77527684
QC-CR#2167135
系統啟動載入程式
CVE-2018-11302 A-109741923
QC-CR#2209355
WLAN 主機
CVE-2018-5919 A-65423852
QC-CR#2213280
WLAN 主機
CVE-2018-11818 A-111127974
QC-CR#2170083 [2]
MDSS 驅動程式
CVE-2018-11832 A-111127793
QC-CR#2212896
核心
CVE-2018-11893 A-111127990
QC-CR#2231992
WLAN 主機
CVE-2018-11919 A-79217930
QC-CR#2209134 [2] [3]
核心
CVE-2018-11939 A-77237693
QC-CR#2254305
WLAN 主機
CVE-2018-11823 A-112277122
QC-CR#2204519
電源
CVE-2018-11929 A-112277631
QC-CR#2231300
WLAN 主機
CVE-2018-11943 A-72117228
QC-CR#2257823
系統啟動載入程式
CVE-2018-11947 A-112277911
QC-CR#2246110 [2]
WLAN 主機
CVE-2018-11947 A-112278406
QC-CR#2272696
WLAN 主機
CVE-2018-11942 A-112278151
QC-CR#2257688
WLAN 主機
CVE-2018-11983 A-80095430
QC-CR#2262576
核心
CVE-2018-11984 A-80435805
QC-CR#2266693
核心
CVE-2018-11987 A-70638103
QC-CR#2258691
核心
CVE-2018-11985 A-114041193
QC-CR#2163851
系統啟動載入程式
CVE-2018-11988 A-114041748
QC-CR#2172134 [2]
核心
CVE-2018-11986 A-62916765
QC-CR#2266969
相機
CVE-2018-12010 A-62711756
QC-CR#2268386
核心
CVE-2018-12006 A-77237704
QC-CR#2257685 [2]
螢幕
CVE-2018-13893 A-80302295
QC-CR#2291309 [2]
diag_mask
CVE-2018-12011 A-109697864
QC-CR#2274853
核心
CVE-2018-13912 A-119053502
QC-CR#2283160 [2]
相機
CVE-2018-13913 A-119053530
QC-CR#2286485 [2]
螢幕
CVE-2018-3564 A-119052383
QC-CR#2225279
DSP 服務
CVE-2019-2248 A-122474006
QC-CR#2328906
螢幕
CVE-2019-2277 A-127512945
QC-CR#2342812
WLAN 主機
CVE-2019-2263 A-116024809
QC-CR#2076623
核心
CVE-2019-2345 A-110849476
QC-CR#2115578
相機
CVE-2019-2306 A-115907574
QC-CR#2337383 [2]
螢幕
CVE-2019-2299 A-117988970
QC-CR#2243169
WLAN 主機
CVE-2019-2312 A-117885392
QC-CR#2341890
WLAN 主機
CVE-2019-2314 A-120028144
QC-CR#2357704
螢幕
CVE-2019-2314 A-120029095
QC-CR#2357704
螢幕
CVE-2019-2302 A-130565935
QC-CR#2300516
WLAN 主機
CVE-2019-10506 A-117885703
QC-CR#2252793
WLAN 主機
CVE-2018-13890 A-111274306
QC-CR#2288818
WLAN 主機
CVE-2019-10507 A-132170503
QC-CR#2253396
WLAN 主機
CVE-2019-10508 A-132173922
QC-CR#2288818
WLAN 主機
CVE-2019-2284 A-132173427
QC-CR#2358765
相機
CVE-2019-2333 A-132171964
QC-CR#2381014 [2] [3]
核心
CVE-2019-2341 A-132172264
QC-CR#2389324 [2]
音訊
CVE-2019-10497 A-132173298
QC-CR#2395102
音訊
CVE-2019-10542 A-134440623
QC-CR#2359884
WLAN 主機
CVE-2019-10502 A-134441002
QC-CR#2401297 [2] [3]
相機
CVE-2019-10528 A-63528466
QC-CR#2133028 [2]
核心
CVE-2018-11825 A-117985523
QC-CR#2205722
WLAN 主機
CVE-2019-10565 A-129275872
QC-CR#2213706
相機

Qualcomm 封閉原始碼元件

CVE 參考資料 類型 嚴重程度 元件
CVE-2018-11899 A-69383398* 封閉原始碼元件
CVE-2019-2298 A-118897119* 封閉原始碼元件
CVE-2019-2281 A-129765896* 封閉原始碼元件
CVE-2019-2343 A-130566880* 封閉原始碼元件

功能修補程式

如需 Android 10 的各項功能相關說明,請參閱這篇文章

常見問題與解答

如果您在閱讀這篇公告後有任何疑問,可參考本節的常見問答。

1. 如何判斷我目前的裝置軟體版本是否已修正這些問題?

2019-09-05 之後的安全性修補程式等級完全解決了與 2019-09-05 安全性修補程式等級及所有先前修補程式等級相關的問題。請參閱 Google 裝置更新時間表中的操作說明,瞭解如何查看裝置的安全性修補程式等級。

2.「類型」欄中的項目代表什麼意義?

在安全漏洞詳情表中,「類型」欄中的項目代表安全漏洞類別。

縮寫 定義
RCE 遠端程式碼執行
EoP 權限升級
ID 資訊外洩
DoS 阻斷服務
未分類

3.「參考資料」欄底下列出的識別碼代表什麼意義?

安全漏洞詳情表格中「參考資料」欄底下的項目可能會包含一個前置字串,用以表示該參考資料值所屬的機構。

前置字串 參考資料
A- Android 錯誤 ID
QC- Qualcomm 參考編號
M- MediaTek 參考編號
N- NVIDIA 參考編號
B- Broadcom 參考編號

4.「參考資料」欄中 Android 錯誤 ID 旁邊的星號 (*) 代表什麼意義?

在「參考資料」欄中的 Android 錯誤 ID 旁邊標上星號 (*) 代表該問題並未公開,相關的更新通常是直接整合在最新的 Pixel 裝置專用驅動程式的安裝檔中。您可以前往 Google Developers 網站下載這些驅動程式。

5. 為什麼安全性漏洞會分別刊載在這份安全性公告和 Android 安全性公告?

為了宣告 Android 裝置最新的安全性修補程式等級,我們必須先在 Android 安全性公告中刊載相關的安全性漏洞。其他安全性漏洞 (例如本安全性公告所刊載的安全性漏洞) 並未強制規定宣告安全性修補程式等級。

版本

版本 日期 附註
1.0 2019 年 9 月 3 日 發布公告。
1.1 2019 年 9 月 12 日 更新公告。