Дата публикации: 3 мая 2021 г.
В этом бюллетене содержится информация об уязвимостях в защите и об улучшениях функциональных возможностей поддерживаемых устройств Pixel (устройств Google). Все проблемы устройств Google, перечисленные здесь и в бюллетене по безопасности Android за май 2021 года, устранены в исправлении 2021-05-05 и более новых. Информацию о том, как проверить уровень исправления системы безопасности на устройстве, можно найти в статье о сроках обновления ПО.
Исправление системы безопасности 2021-05-05 получат все поддерживаемые устройства Google. Мы настоятельно рекомендуем пользователям установить это обновление.
Исправления системы безопасности
Уязвимости сгруппированы по компонентам, которые они затрагивают. Для каждого случая приведены описание и таблица, где указаны CVE, ссылки, тип уязвимости, уровень серьезности и, если применимо, версии AOSP. Где возможно, мы добавляем к идентификатору ошибки ссылку на опубликованное изменение (например, список AOSP). Если таких изменений несколько, дополнительные ссылки указываются в квадратных скобках.
Компоненты ядра
| CVE | Ссылки | Тип | Уровень серьезности | Компонент |
|---|---|---|---|---|
| CVE-2020-27786 | A-175769013 Upstream kernel |
EoP | Средний | MIDI |
| CVE-2020-27825 | A-175769054 Upstream kernel |
EoP | Средний | Tracing |
| CVE-2020-25656 | A-174904705 Upstream kernel |
ID | Средний | TTY |
Компоненты Qualcomm
| CVE | Ссылки | Уровень серьезности | Компонент |
|---|---|---|---|
| CVE-2020-11254 | A-172354397 QC-CR#2740910* |
Средний | Камера |
Компоненты Qualcomm с закрытым исходным кодом
| CVE | Ссылки | Уровень серьезности | Компонент |
|---|---|---|---|
| CVE-2020-11293 | A-166459185* | Средний | Компонент с закрытым исходным кодом |
| CVE-2020-11294 | A-159768423* | Средний | Компонент с закрытым исходным кодом |
| CVE-2020-11295 | A-160968882* | Средний | Компонент с закрытым исходным кодом |
Исправления функциональных возможностей
Чтобы узнать, какие ошибки мы исправили и что было улучшено в этом выпуске, откройте форум сообщества Pixel.
Часто задаваемые вопросы
В этом разделе мы отвечаем на вопросы, которые могут возникнуть после прочтения бюллетеня.
1. Как определить, установлено ли на устройство обновление, в котором устранены перечисленные проблемы?
В исправлении 2021-05-05 и более новых решены все проблемы, соответствующие исправлению системы безопасности 2021-05-05 и всем предыдущим исправлениям. Информацию о том, как проверить уровень исправления системы безопасности на устройстве, можно найти в статье о сроках обновления ПО.
2. Что означают сокращения в столбце Тип?
В этом столбце указан тип уязвимости по следующей классификации:
| Сокращение | Описание |
|---|---|
| RCE | Удаленное выполнение кода |
| EoP | Повышение уровня привилегий |
| ID | Раскрытие информации |
| DoS | Отказ в обслуживании |
| Н/Д | Классификация недоступна |
3. Что означает информация в столбце Ссылки?
В таблицах с описанием уязвимостей есть столбец Ссылки. Каждая запись в нем может содержать префикс, указывающий на источник ссылки, а именно:
| Префикс | Значение |
|---|---|
| A- | Идентификатор ошибки Android |
| QC- | Ссылочный номер Qualcomm |
| M- | Ссылочный номер MediaTek |
| N- | Ссылочный номер NVIDIA |
| B- | Ссылочный номер Broadcom |
4. Что означает символ * рядом с идентификатором ошибки Android в столбце Ссылки?
Символ * означает, что исправление для уязвимости не опубликовано. Необходимое обновление обычно содержится в последних исполняемых файлах драйверов для устройств Pixel, которые можно скачать с сайта Google Developers.
5. Почему теперь одни уязвимости описываются в этом бюллетене, а другие – в бюллетенях по безопасности Android?
В бюллетенях по безопасности Android описываются уязвимости, которые необходимо устранить для соответствия последнему уровню исправления системы безопасности Android. Решать для этого другие проблемы, например перечисленные здесь, необязательно.
Версии
| Версия | Дата | Примечания |
|---|---|---|
| 1.0 | 3 мая 2021 г. | Бюллетень опубликован. |