Опубликован 2 марта 2020 г. | Обновлен 3 марта 2020 г.
В этом бюллетене содержится информация об уязвимостях в защите и об улучшениях функциональных возможностей поддерживаемых устройств Pixel (устройств Google). Все проблемы, перечисленные здесь и в бюллетене по безопасности Android за март 2020 года, устранены в исправлении 2020-03-05 или более новом. Информацию о том, как проверить уровень исправления системы безопасности на устройстве, можно найти в статье об обновлении версии Android.
Исправление системы безопасности 2020-03-05 получат все поддерживаемые устройства Google. Мы настоятельно рекомендуем пользователям установить это обновление.
Объявления
- Помимо исправлений уязвимостей, описанных в бюллетене по безопасности Android за март 2020 года, обновления для устройств Google содержат также исправления проблем, перечисленных ниже. Партнеры были уведомлены об этих проблемах и могут включить их исправления в свои обновления системы безопасности.
Обновления системы безопасности
Уязвимости сгруппированы по компонентам, которые они затрагивают. Для каждого случая приведены описание и таблица, где указаны CVE, ссылки, тип уязвимости, уровень серьезности и, если применимо, версии AOSP. Где возможно, мы добавляем к идентификатору ошибки ссылку на опубликованное изменение (например, список AOSP). Если таких изменений несколько, дополнительные ссылки указываются в квадратных скобках.
Framework
| CVE | Ссылки | Тип | Уровень серьезности | Обновленные версии AOSP |
|---|---|---|---|---|
| CVE-2020-0045 | A-141243101 | EoP | Средний | 10 |
| CVE-2020-0084 | A-143339775 | EoP | Средний | 10 |
| CVE-2020-0087 | A-127989044 [2] | ID | Средний | 10 |
Media Framework
| CVE | Ссылки | Тип | Уровень серьезности | Обновленные версии AOSP |
|---|---|---|---|---|
| CVE-2020-0046 | A-137284652 | EoP | Средний | 10 |
| CVE-2020-0047 | A-141622311 | EoP | Средний | 10 |
| CVE-2020-0048 | A-139417189 | ID | Средний | 10 |
| CVE-2020-0049 | A-140177694 | ID | Средний | 10 |
Система
| CVE | Ссылки | Тип | Уровень серьезности | Обновленные версии AOSP |
|---|---|---|---|---|
| CVE-2020-0061 | A-145504977* | ID | Высокий | 10 |
| CVE-2020-0062 | A-143232031* | ID | Высокий | 10 |
| CVE-2020-0050 | A-124521372 | EoP | Средний | 10 |
| CVE-2020-0051 | A-138442483 | EoP | Средний | 10 |
| CVE-2020-0052 | A-137102479 | EoP | Средний | 10 |
| CVE-2020-0053 | A-143789898 | EoP | Средний | 10 |
| CVE-2020-0054 | A-146642727 [2] | EoP | Средний | 10 |
| CVE-2020-0085 | A-134487438 [2] [3] | EoP | Средний | 10 |
| CVE-2020-0063 | A-143128911* | EoP | Средний | 10 |
| CVE-2020-0055 | A-141617601 | ID | Средний | 10 |
| CVE-2020-0056 | A-141619686 | ID | Средний | 10 |
| CVE-2020-0057 | A-141620271 | ID | Средний | 10 |
| CVE-2020-0058 | A-141745011 | ID | Средний | 10 |
| CVE-2020-0059 | A-142543524 | ID | Средний | 10 |
| CVE-2020-0060 | A-143229845 | ID | Средний | 10 |
| CVE-2020-0083 | A-142797954 [2] | DoS | Средний | 10 |
Компоненты ядра
| CVE | Ссылки | Тип | Уровень серьезности | Компонент |
|---|---|---|---|---|
| CVE-2019-10126 | A-136544114 Upstream kernel |
RCE | Средний | Беспроводной драйвер ядра Marvell Mwifiex |
| CVE-2019-17133 | A-145728911 Upstream kernel |
RCE | Средний | Беспроводная подсистема |
| CVE-2019-3846 | A-134819290 Upstream kernel |
RCE | Средний | Беспроводной драйвер ядра Marvell Mwifiex |
| CVE-2019-14815 | A-145728909 Upstream kernel |
RCE | Средний | Драйвер Wi-Fi Marvell Mwifiex |
| CVE-2019-15926 | A-141043210 Upstream kernel |
RCE | Средний | Wi-Fi AR600x |
| CVE-2019-13272 | A-137670911 Upstream kernel |
EoP | Средний | ptrace |
| CVE-2019-13631 | A-138638402 Upstream kernel |
EoP | Средний | USB-драйвер для дигитайзера GTCO |
| CVE-2019-14821 | A-139813180 Upstream kernel |
EoP | Средний | KVM в Linux |
| CVE-2019-15211 | A-140329273 Upstream kernel |
EoP | Средний | Драйвер V4L2 |
| CVE-2019-15212 | A-140328994 Upstream kernel |
EoP | Средний | Драйвер Rio 500 |
| CVE-2019-15213 | A-140329468 Upstream kernel |
EoP | Средний | USB-драйвер DVB |
| CVE-2019-15215 | A-140329766 Upstream kernel |
EoP | Средний | USB-драйвер CPia2 |
| CVE-2019-15666 | A-140369321 Upstream kernel |
EoP | Средний | IP-фреймворк XFRM |
| CVE-2019-17052 | A-145728199 Upstream kernel [2] |
EoP | Средний | Сеть |
| CVE-2019-19525 | A-146258237 Upstream kernel |
EoP | Средний | USB-драйвер IEEE 802.15.4 |
| CVE-2020-0066 | A-65025077 Upstream kernel |
EoP | Средний | Драйвер Netlink |
| CVE-2019-10638 | A-137737889 Upstream kernel [2] [3] |
ID | Средний | Драйвер Inet |
| CVE-2019-14283 | A-139989665 Upstream kernel |
ID | Средний | Драйвер для дисковода |
| CVE-2019-15090 | A-140329272 Upstream kernel |
ID | Средний | SCSI-драйвер |
| CVE-2019-15117 | A-140328199 Upstream kernel |
ID | Средний | Аудиодрайвер USB |
| CVE-2019-15505 | A-140329295 Upstream kernel |
ID | Средний | USB-драйвер TechniSat |
| CVE-2019-11477 | A-135470293 Upstream kernel |
DoS | Средний | TCP |
| CVE-2019-11478 | A-135469925 Upstream kernel |
DoS | Средний | TCP |
| CVE-2019-11479 | A-135471734 Upstream kernel [2] |
DoS | Средний | TCP |
Компоненты Qualcomm
| CVE | Ссылки | Тип | Уровень серьезности | Компонент |
|---|---|---|---|---|
| CVE-2019-2264 | A-113600760 QC-CR#2155992 |
Н/Д | Средний | Ядро |
| CVE-2019-10544 | A-140422956 QC-CR#2431047 QC-CR#2434573 |
Н/Д | Средний | Сервисы |
| CVE-2019-10584 | A-140424129 QC-CR#2456675 [2] |
Н/Д | Средний | Видео |
| CVE-2019-10623 | A-141099048 QC-CR#2409913 |
Н/Д | Средний | WConnect |
Компоненты Qualcomm с закрытым исходным кодом
| CVE | Ссылки | Тип | Уровень серьезности | Компонент |
|---|---|---|---|---|
| CVE-2019-10561 | A-137032530* | Н/Д | Средний | Компонент с закрытым исходным кодом |
| CVE-2019-10592 | A-132781007* | Н/Д | Средний | Компонент с закрытым исходным кодом |
Улучшения функциональных возможностей
Подробную информацию об исправлениях ошибок и улучшениях функциональных возможностей, включенных в этот выпуск, можно найти на справочном форуме Pixel.
Часто задаваемые вопросы
В этом разделе мы отвечаем на вопросы, которые могут возникнуть после прочтения бюллетеня.
1. Как определить, установлено ли на устройство обновление, в котором устранены перечисленные проблемы?
В исправлении 2020-03-05 и более новых устранены все проблемы, соответствующие исправлению системы безопасности 2020-03-05 и всем предыдущим исправлениям. Информацию о том, как проверить уровень исправления системы безопасности на устройстве, можно найти в статье о сроках обновления ПО.
2. Что означают сокращения в столбце Тип?
В этом столбце указан тип уязвимости по следующей классификации:
| Сокращение | Описание |
|---|---|
| RCE | Удаленное выполнение кода |
| EoP | Повышение привилегий |
| ID | Раскрытие информации |
| DoS | Отказ в обслуживании |
| Н/Д | Классификация недоступна |
3. Что означает информация в столбце Ссылки?
В таблицах с описанием уязвимостей есть столбец Ссылки. Каждая запись в нем может содержать префикс, указывающий на источник ссылки, а именно:
| Префикс | Значение |
|---|---|
| A- | Идентификатор ошибки Android |
| QC- | Ссылочный номер Qualcomm |
| M- | Ссылочный номер MediaTek |
| N- | Ссылочный номер NVIDIA |
| B- | Ссылочный номер Broadcom |
4. Что означает символ * рядом с идентификатором ошибки Android в столбце Ссылки?
Символ * означает, что исправление для уязвимости не опубликовано. Необходимое обновление обычно содержится в последних исполняемых файлах драйверов для устройств Pixel, которые можно скачать с сайта Google Developers.
5. Почему одни уязвимости описываются в этом бюллетене, а другие – в бюллетенях по безопасности Android?
В бюллетене по безопасности Android приведены уязвимости, которые нужно устранить для соответствия последнему уровню исправления системы безопасности Android. Решать для этого другие проблемы, например перечисленные здесь, необязательно.
Версии
| Версия | Дата | Примечания |
|---|---|---|
| 1.0 | 2 марта 2020 года | Бюллетень опубликован. |
| 1.1 | 3 марта 2020 г. | Добавлены ссылки на AOSP. |