Бюллетень по обновлениям Pixel – январь 2020 г.

Опубликовано 6 января 2020 г.

В этом бюллетене содержится информация об уязвимостях в защите и об улучшениях функциональных возможностей поддерживаемых устройств Pixel (устройств Google). Для устройств Google исправления системы безопасности 2020-01-01 и более поздние устраняют как минимум все проблемы, указанные в этом бюллетене, и все проблемы, соответствующие исправлению системы безопасности 2020-01-01 в бюллетене по безопасности Android за январь 2020 года. Информацию о том, как проверить версию исправления системы безопасности на своем устройстве, можно найти в Справочном центре.

Исправление системы безопасности 2020-01-01 получат все поддерживаемые устройства Google. Мы настоятельно рекомендуем пользователям установить это обновление.

Объявления

  • Помимо уязвимостей, устраненных в исправлении 2020-01-01 и описанных в бюллетене по безопасности Android за январь 2020 года, обновления для устройств Google также устраняют проблемы, перечисленные ниже. Партнеры были уведомлены об этих проблемах не менее месяца назад и могут включить их исправления в свои обновления системы безопасности.

Обновления системы безопасности

Уязвимости сгруппированы по компонентам, которые они затрагивают. Для каждого случая приведены описание и таблица, где указаны CVE, ссылки, тип уязвимости, уровень серьезности и, если применимо, версии AOSP. Где возможно, мы приводим основную ссылку на опубликованное изменение, связанное с идентификатором ошибки (например, список AOSP), Если таких изменений несколько, дополнительные ссылки указываются в квадратных скобках.

Компоненты ядра

Самая серьезная уязвимость позволяет находящемуся поблизости злоумышленнику выполнять произвольный код в контексте привилегированного процесса с помощью специально созданной передачи.

CVE Ссылки Тип Уровень серьезности Компонент
CVE-2019-17666 A-142967706
Upstream kernel
RCE Критический Драйвер Realtek rtlwifi
CVE-2018-20856 A-138921316
Upstream kernel
EoP Высокий Ядро
CVE-2019-15214 A-140920734
Upstream kernel
EoP Высокий Звуковая подсистема
CVE-2020-0009 A-142938932* EoP Высокий ashmem

Компоненты Qualcomm

Эти уязвимости затрагивают компоненты Qualcomm. Они описаны в бюллетенях по безопасности или оповещениях системы безопасности Qualcomm. Уровень серьезности определяется непосредственно компанией Qualcomm.

CVE Ссылки Тип Уровень серьезности Компонент
CVE-2018-11843 A-111126051
QC-CR#2216751
Н/Д Высокий Хост WLAN
CVE-2019-10558 A-142268223
QC-CR#2355428
Н/Д Высокий Ядро
CVE-2019-10581 A-142267478
QC-CR#2451619
Н/Д Высокий Аудио
CVE-2019-10585 A-142267685
QC-CR#2457975
Н/Д Высокий Ядро
CVE-2019-10602 A-142270161
QC-CR#2165926 [2]
Н/Д Высокий Экран
CVE-2019-10606 A-142269492
QC-CR#2192810 [2]
Н/Д Высокий Ядро
CVE-2019-14010 A-142269847
QC-CR#2465851 [2]
Н/Д Высокий Аудио
CVE-2019-14023 A-142270139
QC-CR#2493328
Н/Д Высокий Ядро
CVE-2019-14024 A-142269993
QC-CR#2494103
Н/Д Высокий Модуль NFC
CVE-2019-14034 A-142270258
QC-CR#2491649 [2] [3]
Н/Д Высокий Камера
CVE-2019-14036 A-142269832
QC-CR#2200862
Н/Д Высокий Хост WLAN
CVE-2019-2293 A-129852075
QC-CR#2245982
Н/Д Средний Камера
CVE-2019-10486 A-136500978
QC-CR#2362627 [2]
Н/Д Средний Камера
CVE-2019-10503 A-136501052
QC-CR#2379514 [2]
Н/Д Средний Камера
CVE-2019-10494 A-120975505
QC-CR#2376566
Н/Д Средний Камера

Компоненты Qualcomm с закрытым исходным кодом

Указанные ниже уязвимости затрагивают компоненты Qualcomm с закрытым исходным кодом и подробно описаны в бюллетенях по безопасности или в оповещениях системы безопасности Qualcomm. Уровень серьезности этих уязвимостей определяется непосредственно компанией Qualcomm.

CVE Ссылки Тип Уровень серьезности Компонент
CVE-2019-2267 A-132108182* Н/Д Высокий Компонент с закрытым исходным кодом
CVE-2019-10548 A-137030896* Н/Д Высокий Компонент с закрытым исходным кодом
CVE-2019-10532 A-142271634* Н/Д Высокий Компонент с закрытым исходным кодом
CVE-2019-10578 A-142268949* Н/Д Высокий Компонент с закрытым исходным кодом
CVE-2019-10579 A-142271692* Н/Д Высокий Компонент с закрытым исходным кодом
CVE-2019-10582 A-130574302* Н/Д Высокий Компонент с закрытым исходным кодом
CVE-2019-10583 A-131180394* Н/Д Высокий Компонент с закрытым исходным кодом
CVE-2019-10611 A-142271615* Н/Д Высокий Компонент с закрытым исходным кодом
CVE-2019-14002 A-142271274* Н/Д Высокий Компонент с закрытым исходным кодом
CVE-2019-14003 A-142271498* Н/Д Высокий Компонент с закрытым исходным кодом
CVE-2019-14004 A-142271848* Н/Д Высокий Компонент с закрытым исходным кодом
CVE-2019-14005 A-142271965* Н/Д Высокий Компонент с закрытым исходным кодом
CVE-2019-14006 A-142271827* Н/Д Высокий Компонент с закрытым исходным кодом
CVE-2019-14008 A-142271609* Н/Д Высокий Компонент с закрытым исходным кодом
CVE-2019-14013 A-142271944* Н/Д Высокий Компонент с закрытым исходным кодом
CVE-2019-14014 A-142270349* Н/Д Высокий Компонент с закрытым исходным кодом
CVE-2019-14016 A-142270646* Н/Д Высокий Компонент с закрытым исходным кодом
CVE-2019-14017 A-142271515* Н/Д Высокий Компонент с закрытым исходным кодом

Функциональные исправления

Подробную информацию об исправлениях ошибок и улучшениях функциональных возможностей, включенных в этот выпуск, можно найти на справочном форуме Pixel.

Часто задаваемые вопросы

В этом разделе мы отвечаем на вопросы, которые могут возникнуть после прочтения бюллетеня.

1. Как определить, установлено ли на устройство обновление, в котором устранены перечисленные проблемы?

В исправлении 2020-01-01 и более поздних устранены все проблемы, соответствующие исправлению системы безопасности 2020-01-01 и всем предыдущим исправлениям. Информацию о том, как проверить версию системы безопасности на своем устройстве, можно найти в этой статье.

2. Что означают сокращения в столбце Тип?

В этом столбце указан тип уязвимости по следующей классификации:

Сокращение Описание
RCE Удаленное выполнение кода (Remote code execution)
EoP Повышение привилегий (Elevation of privilege)
ID Раскрытие информации (Information disclosure)
DoS Отказ в обслуживании (Denial of service)
Н/Д Классификация недоступна

3. Что означает информация в столбце Ссылки?

В таблицах с описанием уязвимостей есть столбец Ссылки. Каждая запись в нем может содержать префикс, указывающий на источник ссылки, а именно:

Префикс Значение
A- Идентификатор ошибки Android
QC- Ссылочный номер Qualcomm
M- Ссылочный номер MediaTek
N- Ссылочный номер NVIDIA
B- Ссылочный номер Broadcom

4. Что означает символ * рядом с идентификатором ошибки Android в столбце Ссылки?

Символ * означает, что исправление для уязвимости не опубликовано. Необходимое обновление обычно содержится в последних исполняемых файлах драйверов для устройств Pixel, которые можно скачать с сайта Google Developers.

5. Почему теперь одни уязвимости описываются в этом бюллетене, а другие – в бюллетенях по безопасности Android?

В бюллетене по безопасности Android описаны уязвимости, устранить которые необходимо для соответствия последнему уровню исправления Android. Дополнительные проблемы (например, описанные в этом бюллетене) необязательно устранять для достижения уровня исправления.

Версии

Версия Дата Примечания
1.0 6 января 2020 г. Бюллетень опубликован.