Бюллетень по безопасности Android – апрель 2019 г.

Опубликовано 1 апреля 2019 г. | Обновлено 3 апреля 2019 г.

В этом бюллетене содержится информация об уязвимостях в защите устройств Android. Все проблемы, перечисленные здесь, устранены в исправлении от 5 апреля 2019 года или более новом. Информацию о том, как проверить версию системы безопасности на своем устройстве, можно найти в этой статье Справочного центра.

Мы сообщили партнерам обо всех проблемах по крайней мере за месяц до выхода бюллетеня. Исправления уязвимостей доступны в хранилище Android Open Source Project (AOSP). В бюллетене также приведены ссылки на исправления вне AOSP.

Самая серьезная из проблем – критическая уязвимость в Media Framework, которая позволяет злоумышленнику удаленно выполнять произвольный код в контексте привилегированного процесса с помощью специально созданного файла. Уровень серьезности зависит от того, какой ущерб будет нанесен устройству при атаке с использованием уязвимости, если злоумышленнику удастся обойти средства защиты или их отключит разработчик.

У нас нет информации о том, что обнаруженные уязвимости эксплуатировались. В разделе Предотвращение атак рассказано, как платформа безопасности и Google Play Защита помогают снизить вероятность атак на Android.

Примечание. Информация о последних беспроводных обновлениях (OTA) и образах встроенного ПО для устройств Google содержится в бюллетене по обновлениям Pixel  за апрель 2019 года.

Предотвращение атак

Ниже рассказано, как платформа безопасности и средства защиты сервисов, например Google Play Защита, позволяют снизить вероятность атак на Android.

  • В новых версиях Android сложнее использовать многие уязвимости, поэтому мы рекомендуем всем пользователям своевременно обновлять систему.
  • Команда, отвечающая за безопасность Android, с помощью Google Play Защиты активно отслеживает злоупотребления и предупреждает пользователей об установке потенциально опасных приложений. Google Play Защита включена по умолчанию на всех телефонах и планшетах, использующих сервисы Google для мобильных устройств. Она особенно важна, если устанавливается ПО из сторонних источников.

Описание уязвимостей (обновление системы безопасности 2019-04-01)

В этом разделе вы найдете подробную информацию обо всех уязвимостях, устраненных в обновлении системы безопасности 2019-04-01. Проблемы сгруппированы по компонентам, которые они затрагивают. Для каждого случая есть описание и таблица, где указаны номера CVE, ссылки, тип уязвимости, уровень серьезности и, если применимо, версии AOSP. Где возможно, идентификаторы ошибки содержат ссылку на опубликованное изменение (например, список AOSP). Дополнительные ссылки перечислены в квадратных скобках.

Framework

Описанная ниже уязвимость позволяет злоумышленнику, в руки которого попало устройство, обойти требования к взаимодействию с пользователем и получить доступ к дополнительным разрешениям.

CVE Ссылки Тип Уровень серьезности Обновленные версии AOSP
CVE-2019-2026 A-120866126* ПП Высокий 8.0

Media Framework

Самая серьезная уязвимость позволяет злоумышленнику выполнять произвольный код в контексте привилегированного процесса с помощью специально созданного файла.

CVE Ссылки Тип Уровень серьезности Обновленные версии AOSP
CVE-2019-2027 A-119120561 УВК Критический 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9
CVE-2019-2028 A-120644655 УВК Критический 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9

Система

Самая серьезная уязвимость позволяет локальному вредоносному ПО выполнять произвольный код в контексте привилегированного процесса.

CVE Ссылки Тип Уровень серьезности Обновленные версии AOSP
CVE-2019-2030 A-119496789 ПП Высокий 9
CVE-2019-2031 A-120502559 ПП Высокий 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9
CVE-2019-2033 A-121327565 [2] ПП Высокий 9
CVE-2019-2034 A-122035770 ПП Высокий 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9
CVE-2019-2035 A-122320256 ПП Высокий 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9
CVE-2019-2038 A-121259048 РИ Высокий 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9
CVE-2019-2039 A-121260197 РИ Высокий 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9
CVE-2019-2040 A-122316913 РИ Высокий 9

Описание уязвимостей (обновление системы безопасности 2019-04-05)

В этом разделе вы найдете подробную информацию обо всех уязвимостях, устраненных в исправлении от 5 апреля 2019 года. Проблемы сгруппированы по компонентам, которые они затрагивают. Для каждого приведена таблица, где указаны CVE, ссылки, тип уязвимости, уровень серьезности, а если применимо, также компонент и версии AOSP. Где возможно, идентификаторы ошибки содержат ссылку на опубликованное изменение (например, список AOSP). Дополнительные ссылки приведены в квадратных скобках.

Система

Самая серьезная уязвимость позволяет злоумышленнику удаленно выполнять произвольный код в контексте привилегированного процесса с помощью специально созданного файла.

CVE Ссылки Тип Уровень серьезности Обновленные версии AOSP
CVE-2019-2029 A-120612744 УВК Критический 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9
CVE-2019-2032 A-121145627 ПП Высокий 8.0, 8.1, 9
CVE-2019-2041 A-122034690 [2] [3] ПП Высокий 8.1, 9
CVE-2019-2037 A-119870451 РИ Высокий 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9.0

Компоненты Qualcomm

Указанные ниже уязвимости затрагивают компоненты Qualcomm и подробно описаны в бюллетенях по безопасности Qualcomm или оповещениях системы безопасности. Большую часть исправлений для этих проблем можно найти в бюллетенях по безопасности Qualcomm за 2018 год. Уровень серьезности определяется непосредственно компанией Qualcomm.

CVE Ссылки Тип Уровень серьезности Компонент
CVE-2018-11940 A-79377832
QC-CR#2254946
Н/Д Критический Хост WLAN
CVE-2017-17772 A-72957385
QC-CR#2153003 [2]
Н/Д Высокий Хост WLAN
CVE-2018-11294 A-109741680
QC-CR#2197481
Н/Д Высокий Хост WLAN
CVE-2018-5855 A-77527719
QC-CR#2193421
Н/Д Высокий Хост WLAN
CVE-2018-11299 A-109741946
QC-CR#2186953
Н/Д Высокий Хост WLAN
CVE-2018-11826 A-111127853
QC-CR#2205957
Н/Д Высокий Хост WLAN
CVE-2018-11827 A-111128575
QC-CR#2206569
Н/Д Высокий Хост WLAN
CVE-2018-11840 A-111126050
QC-CR#2215443
Н/Д Высокий Хост WLAN
CVE-2018-11851 A-111125792
QC-CR#2221902
Н/Д Высокий Хост WLAN
CVE-2018-11860 A-111128301
QC-CR#2225113
Н/Д Высокий Хост WLAN
CVE-2018-11868 A-111128420
QC-CR#2227248
Н/Д Высокий Хост WLAN
CVE-2018-11869 A-111128838
QC-CR#2227263
Н/Д Высокий Хост WLAN
CVE-2018-11878 A-111128797
QC-CR#2228608
Н/Д Высокий Хост WLAN
CVE-2018-11889 A-111128421
QC-CR#2230998
Н/Д Высокий Хост WLAN
CVE-2018-11891 A-111128578
QC-CR#2231767
Н/Д Высокий Хост WLAN
CVE-2018-11894 A-111127989
QC-CR#2232358
Н/Д Высокий Хост WLAN
CVE-2018-11895 A-111128877
QC-CR#2232542
Н/Д Высокий Хост WLAN
CVE-2018-11897 A-111128841
QC-CR#2233033
Н/Д Высокий Хост WLAN
CVE-2018-11902 A-111126532
QC-CR#2225604
Н/Д Высокий Хост WLAN
CVE-2018-11904 A-111125111
QC-CR#2215446
Н/Д Высокий Хост WLAN
CVE-2018-11905 A-112277221
QC-CR#2146878
Н/Д Высокий Хост WLAN
CVE-2018-11923 A-112276863
QC-CR#2224443
Н/Д Высокий Хост WLAN
CVE-2018-11924 A-112278150
QC-CR#2224451
Н/Д Высокий Хост WLAN
CVE-2018-11925 A-112277910
QC-CR#2226375 [2]
Н/Д Высокий Хост WLAN
CVE-2018-11927 A-112277186
QC-CR#2227076
Н/Д Высокий Хост WLAN
CVE-2018-11930 A-112278861
QC-CR#2231770
Н/Д Высокий Хост WLAN
CVE-2018-11937 A-112277891
QC-CR#2245944
Н/Д Высокий Хост WLAN
CVE-2018-11949 A-112278405
QC-CR#2249815
Н/Д Высокий Хост WLAN
CVE-2018-11953 A-112277852
QC-CR#2235576
Н/Д Высокий Хост WLAN
CVE-2018-13920 A-120487136*
QC-CR#2293841
Н/Д Высокий Ядро

Компоненты Qualcomm с закрытым исходным кодом

Эти уязвимости затрагивают компоненты Qualcomm. Они описаны в бюллетенях по безопасности Qualcomm или оповещениях системы безопасности. Уровень серьезности этих уязвимостей определяется непосредственно компанией Qualcomm.

CVE Ссылки Тип Уровень серьезности Компонент
CVE-2018-11271 A-120487384* Н/Д Критический Компонент с закрытым исходным кодом
CVE-2018-11976 A-117119000* Н/Д Критический Компонент с закрытым исходным кодом
CVE-2018-12004 A-117118976* Н/Д Критический Компонент с закрытым исходным кодом
CVE-2018-13886 A-117118295* Н/Д Критический Компонент с закрытым исходным кодом
CVE-2018-13887 A-117119172* Н/Д Критический Компонент с закрытым исходным кодом
CVE-2019-2250 A-122473270* Н/Д Критический Компонент с закрытым исходным кодом
CVE-2018-11291 A-109678120* Н/Д Высокий Компонент с закрытым исходным кодом
CVE-2018-11821 A-111093019* Н/Д Высокий Компонент с закрытым исходным кодом
CVE-2018-11822 A-111092813* Н/Д Высокий Компонент с закрытым исходным кодом
CVE-2018-11828 A-111089816* Н/Д Высокий Компонент с закрытым исходным кодом
CVE-2018-11849 A-111092945* Н/Д Высокий Компонент с закрытым исходным кодом
CVE-2018-11850 A-111092919* Н/Д Высокий Компонент с закрытым исходным кодом
CVE-2018-11853 A-111091938* Н/Д Высокий Компонент с закрытым исходным кодом
CVE-2018-11854 A-111093762* Н/Д Высокий Компонент с закрытым исходным кодом
CVE-2018-11856 A-111093242* Н/Д Высокий Компонент с закрытым исходным кодом
CVE-2018-11859 A-111090373* Н/Д Высокий Компонент с закрытым исходным кодом
CVE-2018-11861 A-111092814* Н/Д Высокий Компонент с закрытым исходным кодом
CVE-2018-11862 A-111093763* Н/Д Высокий Компонент с закрытым исходным кодом
CVE-2018-11867 A-111093243* Н/Д Высокий Компонент с закрытым исходным кодом
CVE-2018-11870 A-111089817* Н/Д Высокий Компонент с закрытым исходным кодом
CVE-2018-11871 A-111092400* Н/Д Высокий Компонент с закрытым исходным кодом
CVE-2018-11872 A-111090534* Н/Д Высокий Компонент с закрытым исходным кодом
CVE-2018-11873 A-111091378* Н/Д Высокий Компонент с закрытым исходным кодом
CVE-2018-11874 A-111092946* Н/Д Высокий Компонент с закрытым исходным кодом
CVE-2018-11875 A-111093022* Н/Д Высокий Компонент с закрытым исходным кодом
CVE-2018-11876 A-111093244* Н/Д Высокий Компонент с закрытым исходным кодом
CVE-2018-11877 A-111092888* Н/Д Высокий Компонент с закрытым исходным кодом
CVE-2018-11879 A-111093280* Н/Д Высокий Компонент с закрытым исходным кодом
CVE-2018-11880 A-111092401* Н/Д Высокий Компонент с закрытым исходным кодом
CVE-2018-11882 A-111093259* Н/Д Высокий Компонент с закрытым исходным кодом
CVE-2018-11884 A-111090535* Н/Д Высокий Компонент с закрытым исходным кодом
CVE-2018-11928 A-112279580* Н/Д Высокий Компонент с закрытым исходным кодом
CVE-2018-11936 A-112279127* Н/Д Высокий Компонент с закрытым исходным кодом
CVE-2018-11967 A-119049704* Н/Д Высокий Компонент с закрытым исходным кодом
CVE-2018-11967 A-119052960* Н/Д Высокий Компонент с закрытым исходным кодом
CVE-2018-11968 A-114042276* Н/Д Высокий Компонент с закрытым исходным кодом
CVE-2018-12005 A-117118499* Н/Д Высокий Компонент с закрытым исходным кодом
CVE-2018-12012 A-117119174* Н/Д Высокий Компонент с закрытым исходным кодом
CVE-2018-12013 A-117119152* Н/Д Высокий Компонент с закрытым исходным кодом
CVE-2018-13885 A-117118789* Н/Д Высокий Компонент с закрытым исходным кодом
CVE-2018-13895 A-122472377* Н/Д Высокий Компонент с закрытым исходным кодом
CVE-2018-13925 A-120483842* Н/Д Высокий Компонент с закрытым исходным кодом
CVE-2019-2244 A-122472139* Н/Д Высокий Компонент с закрытым исходным кодом
CVE-2019-2245 A-122473145* Н/Д Высокий Компонент с закрытым исходным кодом

Часто задаваемые вопросы

В этом разделе мы отвечаем на вопросы, которые могут возникнуть после прочтения бюллетеня.

1. Как определить, установлено ли на устройство обновление, в котором устранены перечисленные проблемы?

Информацию о том, как проверить версию системы безопасности на своем устройстве, можно найти в этой статье Справочного центра.

  • В исправлении от 1 апреля 2019 года или более новом устранены все проблемы, связанные с обновлением 2019-04-01.
  • В исправлении от 5 апреля 2019 года или более новом устранены все проблемы, связанные с обновлением 2019-04-05 и предыдущими обновлениями.

Производители устройств, позволяющие установить эти обновления, должны присвоить им один из этих уровней:

  • [ro.build.version.security_patch]:[2019-04-01]
  • [ro.build.version.security_patch]:[2019-04-05]

2. Почему в этом бюллетене говорится о двух обновлениях системы безопасности?

Мы включили в этот бюллетень сведения о двух обновлениях, чтобы помочь нашим партнерам как можно скорее устранить уязвимости, затрагивающие все устройства Android. Рекомендуем партнерам Android исправить все вышеперечисленные проблемы и установить последнее обновление системы безопасности.

  • На устройствах с установленным обновлением 2019-04-01 должны быть исправлены все охваченные им проблемы, упомянутые в этом бюллетене и предыдущих выпусках.
  • На устройствах с установленным обновлением 2019-04-05 или более поздним должны быть исправлены все проблемы, упомянутые в этом бюллетене и предыдущих выпусках.

Рекомендуем партнерам собрать все исправления проблем в одно обновление.

3. Что означают сокращения в столбце Тип?

В этом столбце указан тип уязвимости по следующей классификации:

Сокращение Описание
УВК Удаленное выполнение кода
ПП Повышение привилегий
РИ Раскрытие информации
ОО Отказ в обслуживании
Н/Д Классификация недоступна

4. Что означает информация в столбце Ссылки?

В таблицах с описанием уязвимостей есть столбец Ссылки. Каждая запись в нем может содержать префикс, указывающий на источник ссылки, а именно:

Префикс Значение
A- Идентификатор ошибки Android
QC- Ссылочный номер Qualcomm
M- Ссылочный номер MediaTek
N- Ссылочный номер NVIDIA
B- Ссылочный номер Broadcom

5. Что означает символ * рядом с идентификатором ошибки Android в столбце Ссылки?

Символ * означает, что исправление для уязвимости не опубликовано. Необходимое обновление содержится в последних бинарных драйверах для устройств Pixel, которые можно скачать на сайте для разработчиков.

6. Почему теперь одни уязвимости описываются в этих бюллетенях, а другие – в бюллетенях по безопасности Pixel , а также в остальных бюллетенях партнеров?

В этом бюллетене описаны уязвимости, которые были устранены в последнем обновлении системы безопасности для устройств Android. Решать дополнительные проблемы, перечисленные в бюллетенях по безопасности партнеров, для этого не потребовалось. Мы рекомендуем производителям чипсетов и устройств Android рассказывать об исправлениях для своих устройств в бюллетенях по безопасности на собственных сайтах. Примеры: бюллетени для Samsung, LGE и Pixel.

Версии

Версия Дата Примечания
1.0 1 апреля 2019 г. Бюллетень опубликован.
1.1 3 апреля 2019 г. Добавлены ссылки на AOSP.