תאריך פרסום: 6 בינואר 2020
עדכון Pixel Bulletin מכיל פרטים על נקודות חולשה באבטחה ועל שיפורים פונקציונליים שמשפיעים על מכשירי Pixel נתמכים (מכשירי Google). במכשירי Google, רמות תיקון האבטחה מ-1 בינואר 2020 ואילך מטפלות לפחות בכל הבעיות שמפורטות בעדכון הזה, ובכל הבעיות שמשויכות לרמת תיקון האבטחה מ-1 בינואר 2020 בעדכון האבטחה של Android מינואר 2020. במאמר איך בודקים את גרסת Android ומעדכנים אותה מוסבר איך בודקים את רמת תיקון האבטחה של המכשיר.
כל מכשירי Google הנתמכים יקבלו עדכון לרמת התיקון 2020-01-01. אנחנו ממליצים לכל הלקוחות לאשר את העדכונים האלה במכשירים שלהם.
הודעות
- בנוסף לנקודות החולשה באבטחה מ-1 בינואר 2020 שמתוארות בעדכון האבטחה הדחוף ל-Android מינואר 2020, מכשירי Google מכילים גם תיקונים לנקודות החולשה באבטחה שמתוארות בהמשך. השותפים עודכנו בבעיות האלה לפני לפחות חודש, והם יכולים לשלב אותן כחלק מעדכוני המכשירים שלהם.
תיקוני אבטחה
נקודות החולשה מקובצות לפי הרכיב שבו הן משפיעות. מוצגים תיאור של הבעיה וטבלה עם מספר ה-CVE, מקורות מידע משויכים, סוג נקודת החולשה, מידת החומרה וגרסאות מעודכנות של Android Open Source Project (AOSP) (אם רלוונטי). כשהדבר אפשרי, אנחנו מקשרים את השינוי הציבורי שטיפל בבעיה למספר הבאג, כמו רשימת השינויים ב-AOSP. כשיש כמה שינויים שקשורים לבאג אחד, הפניות נוספות מקושרות למספרים שמופיעים אחרי מזהה הבאג.
רכיבי הליבה
נקודת החולשה החמורה ביותר בקטע הזה עלולה לאפשר לתוקף שנמצא בסביבה הקרובה להריץ קוד שרירותי בהקשר של תהליך בעל הרשאות, באמצעות שידור שנוצר במיוחד.
| CVE | קובצי עזר | סוג | מידת החומרה | רכיב |
|---|---|---|---|---|
| CVE-2019-17666 | A-142967706 ליבה ב-Upstream |
RCE | קריטי | Realtek rtlwifi driver |
| CVE-2018-20856 | A-138921316 ליבה של Upstream |
EoP | רחב | בועה |
| CVE-2019-15214 | A-140920734 ליבה של Upstream |
EoP | רחב | מערכת משנה של סאונד |
| CVE-2020-0009 | A-142938932* | EoP | רחב | ashmem |
רכיבי Qualcomm
נקודות החולשה האלה משפיעות על רכיבי Qualcomm, ומפורטות בהרחבה בעדכון האבטחה או בהתראה על אבטחה המתאימים של Qualcomm. הערכת החומרה של הבעיות האלה ניתנת ישירות על ידי Qualcomm.
| CVE | קובצי עזר | סוג | מידת החומרה | רכיב |
|---|---|---|---|---|
| CVE-2018-11843 | A-111126051 QC-CR#2216751 |
לא רלוונטי | רחב | מארח WLAN |
| CVE-2019-10558 | A-142268223 QC-CR#2355428 |
לא רלוונטי | רחב | בועה |
| CVE-2019-10581 | A-142267478 QC-CR#2451619 |
לא רלוונטי | רחב | אודיו |
| CVE-2019-10585 | A-142267685 QC-CR#2457975 |
לא רלוונטי | רחב | בועה |
| CVE-2019-10602 | A-142270161 QC-CR#2165926 [2] |
לא רלוונטי | רחב | תצוגה |
| CVE-2019-10606 | A-142269492 QC-CR#2192810 [2] |
לא רלוונטי | רחב | בועה |
| CVE-2019-14010 | A-142269847 QC-CR#2465851 [2] |
לא רלוונטי | רחב | אודיו |
| CVE-2019-14023 | A-142270139 QC-CR#2493328 |
לא רלוונטי | רחב | בועה |
| CVE-2019-14024 | A-142269993 QC-CR#2494103 |
לא רלוונטי | רחב | NFC |
| CVE-2019-14034 | A-142270258 QC-CR#2491649 [2] [3] |
לא רלוונטי | רחב | מצלמה |
| CVE-2019-14036 | A-142269832 QC-CR#2200862 |
לא רלוונטי | רחב | מארח WLAN |
| CVE-2019-2293 | A-129852075 QC-CR#2245982 |
לא רלוונטי | בינונית | מצלמה |
| CVE-2019-10486 | A-136500978 QC-CR#2362627 [2] |
לא רלוונטי | בינונית | מצלמה |
| CVE-2019-10503 | A-136501052 QC-CR#2379514 [2] |
לא רלוונטי | בינונית | מצלמה |
| CVE-2019-10494 | A-120975505 QC-CR#2376566 |
לא רלוונטי | בינונית | מצלמה |
רכיבים של Qualcomm במקור סגור
נקודות החולשה האלה משפיעות על רכיבים של Qualcomm במקור סגור, ומפורטות בהרחבה בעדכון האבטחה או בהתראה על אבטחה המתאימים של Qualcomm. הערכת החומרה של הבעיות האלה מסופקת ישירות על ידי Qualcomm.
| CVE | קובצי עזר | סוג | מידת החומרה | רכיב |
|---|---|---|---|---|
| CVE-2019-2267 | A-132108182* | לא רלוונטי | רחב | רכיב במקור סגור |
| CVE-2019-10548 | A-137030896* | לא רלוונטי | רחב | רכיב במקור סגור |
| CVE-2019-10532 | A-142271634* | לא רלוונטי | רחב | רכיב במקור סגור |
| CVE-2019-10578 | A-142268949* | לא רלוונטי | רחב | רכיב במקור סגור |
| CVE-2019-10579 | A-142271692* | לא רלוונטי | רחב | רכיב במקור סגור |
| CVE-2019-10582 | A-130574302* | לא רלוונטי | רחב | רכיב במקור סגור |
| CVE-2019-10583 | A-131180394* | לא רלוונטי | רחב | רכיב במקור סגור |
| CVE-2019-10611 | A-142271615* | לא רלוונטי | רחב | רכיב במקור סגור |
| CVE-2019-14002 | A-142271274* | לא רלוונטי | רחב | רכיב במקור סגור |
| CVE-2019-14003 | A-142271498* | לא רלוונטי | רחב | רכיב במקור סגור |
| CVE-2019-14004 | A-142271848* | לא רלוונטי | רחב | רכיב במקור סגור |
| CVE-2019-14005 | A-142271965* | לא רלוונטי | רחב | רכיב במקור סגור |
| CVE-2019-14006 | A-142271827* | לא רלוונטי | רחב | רכיב במקור סגור |
| CVE-2019-14008 | A-142271609* | לא רלוונטי | רחב | רכיב במקור סגור |
| CVE-2019-14013 | A-142271944* | לא רלוונטי | רחב | רכיב במקור סגור |
| CVE-2019-14014 | A-142270349* | לא רלוונטי | רחב | רכיב במקור סגור |
| CVE-2019-14016 | A-142270646* | לא רלוונטי | רחב | רכיב במקור סגור |
| CVE-2019-14017 | A-142271515* | לא רלוונטי | רחב | רכיב במקור סגור |
תיקונים פונקציונליים
פרטים על תיקוני הבאגים ותיקוני הבאגים הפונקציונליים החדשים שכלולים במהדורה הזו זמינים בפורום הקהילה של Pixel.
שאלות נפוצות ותשובות
בקטע הזה נענה על שאלות נפוצות שעשויות להתעורר אחרי קריאת העדכון.
1. איך אפשר לדעת אם המכשיר מעודכן כדי לטפל בבעיות האלה?
רמות תיקוני האבטחה מ-01 בינואר 2020 ואילך מטפלות בכל הבעיות שמשויכות לרמת תיקון האבטחה מ-01 בינואר 2020 וכל רמות התיקונים הקודמות. במאמר לוח הזמנים של עדכוני המכשירים של Google מוסבר איך בודקים את רמת תיקון האבטחה של המכשיר.
2. מה המשמעות של הרשומות בעמודה Type?
הרשומות בעמודה Type בטבלת פרטי נקודת החולשה מתייחסות לסיווג של נקודת החולשה באבטחה.
| קיצור | הגדרה |
|---|---|
| RCE | ביצוע קוד מרחוק |
| EoP | הסלמת הרשאות |
| מזהה | חשיפת מידע |
| DoS | התקפת מניעת שירות (DoS) |
| לא רלוונטי | הסיווג לא זמין |
3. מה המשמעות של הרשומות בעמודה References?
רשומות בעמודה References בטבלת פרטי נקודת החולשה עשויות להכיל קידומת שמזהה את הארגון שאליו שייך ערך ההפניה.
| תחילית | חומרי עזר |
|---|---|
| A- | מזהה הבאג ב-Android |
| QC- | מספר הסימוכין של Qualcomm |
| M- | מספר הסימוכין של MediaTek |
| N- | מספר הסימוכין של NVIDIA |
| B- | מספר הסימוכין של Broadcom |
4. מה המשמעות של הסימן * לצד מזהה הבאג ב-Android בעמודה References?
בעיות שלא זמינות לציבור מסומנות ב-* לצד מזהה הבאג ב-Android בעמודה References. בדרך כלל, העדכון לבעיה הזו נכלל במנהלי ההתקנים הבינאריים העדכניים ביותר למכשירי Pixel, שזמינים באתר של Google Developers.
5. למה פרצות האבטחה מחולקות בין העדכון הזה לבין עדכוני האבטחה של Android?
נקודות חולשה באבטחה המתועדות בעדכוני האבטחה של Android חייבות לכלול הצהרה על רמת תיקון האבטחה העדכנית ביותר במכשירי Android. אין צורך בנקודות חולשה נוספות באבטחה, כמו אלה שמתועדות בדף העדכונים הזה, כדי להכריז על רמת תיקון אבטחה.
גרסאות
| גרסה | תאריך | הערות |
|---|---|---|
| 1.0 | 6 בינואר 2020 | העדכון פורסם. |