Бюллетень по безопасности Android – май 2019 г.

Опубликовано 6 мая 2019 г. | Обновлено 6 мая 2019 г.

В этом бюллетене по безопасности содержится информация об уязвимостях в защите устройств Android. Все перечисленные здесь проблемы устранены в исправлении от 5 мая 2019 года или более позднем. Информацию о том, как проверить версию системы безопасности на своем устройстве, можно найти в статье Справочного центра.

Мы сообщаем партнерам обо всех проблемах не менее чем за месяц до выхода бюллетеня. Исправления уязвимостей доступны в хранилище Android Open Source Project (AOSP). В этом бюллетене приведены ссылки на все исправления, в том числе расположенные вне AOSP.

Самая серьезная проблема – критическая уязвимость в Media Framework, которая в случае использования могла бы позволить злоумышленникам удаленно выполнить произвольный код в контексте привилегированного процесса с помощью специально созданного файла. Уровень серьезности зависит от того, какой ущерб будет нанесен устройству, если злоумышленник воспользуется уязвимостью и сможет обойти средства защиты или их отключит разработчик.

Мы не получали сообщений об использовании недавно обнаруженных уязвимостей. Сведения о том, как платформа безопасности и Google Play Защита помогают снизить вероятность атак на Android, можно найти в разделе Предотвращение атак.

Примечание. Информация о последних беспроводных обновлениях и образах встроенного ПО для устройств Google содержится в бюллетене по обновлениям Pixel  за май 2019 года.

Предотвращение атак

В этом разделе рассказывается о том, как платформа безопасности и средства защиты сервисов, например Google Play Защита, позволяют снизить вероятность атак на Android.

  • В новых версиях Android сложнее использовать многие уязвимости, поэтому мы рекомендуем всем пользователям своевременно обновлять систему.
  • Команда, отвечающая за безопасность Android, активно отслеживает нарушения с помощью Google Play Защиты и предупреждает пользователей об установке потенциально опасных приложений. Google Play Защита включена по умолчанию на всех устройствах, использующих сервисы Google для мобильных устройств. Она особенно пригодится пользователям, которые устанавливают приложения из сторонних источников.

Описание уязвимостей (обновление системы безопасности 2019-05-01)

В этом разделе вы найдете подробную информацию обо всех уязвимостях, устраненных в обновлении системы безопасности 2019-05-01. Проблемы сгруппированы по компонентам, которые они затрагивают. Для каждой уязвимости есть описание и таблица, где указан номер CVE, ссылки, тип, уровень серьезности и номера обновленных версий AOSP (при наличии). Где возможно, идентификаторы ошибки содержат ссылку на опубликованное изменение (например, список AOSP). Дополнительные ссылки перечислены в квадратных скобках.

Framework

Описанная ниже уязвимость позволяет локальному вредоносному ПО обойти требования к взаимодействию с пользователем, чтобы получить доступ к дополнительным разрешениям.

CVE Ссылки Тип Уровень серьезности Обновленные версии AOSP
CVE-2019-2043 A-120484087 ПП Средний 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9

Media Framework

Описанная ниже уязвимость позволяет злоумышленнику выполнять произвольный код в контексте привилегированного процесса с помощью специально созданного файла.

CVE Ссылки Тип Уровень серьезности Обновленные версии AOSP
CVE-2019-2044 A-123701862 УВК Критический 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9

Система

Самая серьезная уязвимость в этом разделе позволяет злоумышленнику выполнять произвольный код в контексте привилегированного процесса с помощью специально созданного PAC-файла.

CVE Ссылки Тип Уровень серьезности Обновленные версии AOSP
CVE-2019-2045 A-117554758 УВК Критический 7.0, 7.1.1, 7.1.2, 8.1, 9
CVE-2019-2046 A-117556220 УВК Критический 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9
CVE-2019-2047 A-117607414 УВК Критический 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9
CVE-2019-2049 A-120445479 ПП Высокий 9
CVE-2019-2050 A-121327323 ПП Высокий 8.0, 8.1, 9
CVE-2019-2051 A-117555811 РИ Высокий 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9
CVE-2019-2052 A-117556606 РИ Высокий 7.0, 7.1.1, 7.1.2, 8.1, 9
CVE-2019-2053 A-122074159 РИ Высокий 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9

Описание уязвимостей (обновление системы безопасности 2019-05-05)

В этом разделе вы найдете подробную информацию обо всех уязвимостях, устраненных в обновлении системы безопасности 2019-05-05. Проблемы сгруппированы по компонентам, которые они затрагивают. Для каждой уязвимости приведена таблица, где указан номер CVE, ссылки, тип, уровень серьезности, а также название компонента и номера обновленных версий AOSP (при наличии). Где возможно, идентификаторы ошибки содержат ссылку на опубликованное изменение (например, список AOSP). Когда несколько изменений относятся к одной ошибке, дополнительные ссылки перечислены в квадратных скобках.

Компоненты ядра

Описанная ниже уязвимость позволяет злоумышленнику, не обладающему дополнительными правами на выполнение кода, локально повышать привилегии в контексте привилегированного процесса.

CVE Ссылки Тип Уровень серьезности Компонент
CVE-2019-2054 A-119769499* ПП Средний seccomp

Компоненты NVIDIA

Описанная ниже уязвимость позволяет злоумышленнику, обладающему дополнительными правами на выполнение кода, локально повышать привилегии и выполнять произвольный код в контексте привилегированного процесса.

CVE Ссылки Тип Уровень серьезности Компонент
CVE-2018-6243 A-72315075* ПП Высокий Pixel C TrustZone

Компоненты Broadcom

Описанная ниже уязвимость позволяет злоумышленнику выполнять код в контексте привилегированного процесса с помощью специально созданной передачи.

CVE Ссылки Тип Уровень серьезности Компонент
CVE-2018-19860 A-122249979* УВК Высокий Встроенное ПО Bluetooth

Компоненты Qualcomm

Эти уязвимости затрагивают компоненты Qualcomm. Они описаны в бюллетенях по безопасности Qualcomm или оповещениях системы безопасности. Уровень серьезности этих уязвимостей определяется непосредственно компанией Qualcomm.

CVE Ссылки Тип Уровень серьезности Компонент
CVE-2018-11955 A-78528839
QC-CR#2249768
Н/Д Высокий Драйвер WLAN
CVE-2018-13919 A-120486022
QC-CR#2289598
Н/Д Высокий Данные HLOS – LNX

Компоненты Qualcomm с закрытым исходным кодом

Эти уязвимости затрагивают компоненты Qualcomm с закрытым исходным кодом. Они описаны в бюллетенях по безопасности Qualcomm или в оповещениях системы безопасности. Уровень серьезности этих уязвимостей определяется непосредственно компанией Qualcomm.

CVE Ссылки Тип Уровень серьезности Компонент
CVE-2018-5912 A-114074547* Н/Д Критический Компонент с закрытым исходным кодом
CVE-2018-13898 A-119050181* Н/Д Критический Компонент с закрытым исходным кодом
CVE-2019-2255 A-122474428* Н/Д Критический Компонент с закрытым исходным кодом
CVE-2019-2256 A-114067283* Н/Д Критический Компонент с закрытым исходным кодом
CVE-2018-13901 A-119049466* Н/Д Высокий Компонент с закрытым исходным кодом
CVE-2018-13902 A-119050073* Н/Д Высокий Компонент с закрытым исходным кодом
CVE-2018-13906 A-119049388* Н/Д Высокий Компонент с закрытым исходным кодом
CVE-2018-13907 A-119050001* Н/Д Высокий Компонент с закрытым исходным кодом
CVE-2018-13908 A-119049623* Н/Д Высокий Компонент с закрытым исходным кодом
CVE-2018-13909 A-119051002* Н/Д Высокий Компонент с закрытым исходным кодом
CVE-2018-13910 A-119050182* Н/Д Высокий Компонент с закрытым исходным кодом
CVE-2018-13911 A-119052037* Н/Д Высокий Компонент с закрытым исходным кодом
CVE-2018-5913 A-122472140* Н/Д Высокий Компонент с закрытым исходным кодом
CVE-2019-2257 A-112303441* Н/Д Высокий Компонент с закрытым исходным кодом
CVE-2019-2259 A-123997497* Н/Д Высокий Компонент с закрытым исходным кодом

Часто задаваемые вопросы

В этом разделе мы отвечаем на вопросы, которые могут возникнуть после прочтения бюллетеня.

1. Как определить, установлено ли на устройство обновление, в котором устранены перечисленные проблемы?

Информацию о том, как проверить обновления системы безопасности, можно найти в Справочном центре.

  • В исправлении 2019-05-01 или более позднем устранены все проблемы, описанные в разделе "Обновление системы безопасности 2019-05-01".
  • В исправлении 2019-05-05 или более позднем устранены все проблемы, описанные в разделе "Обновление системы безопасности 2019-05-05" и предыдущих обновлениях системы безопасности.

Производители устройств, позволяющие установить эти обновления, должны присвоить им один из этих уровней:

  • [ro.build.version.security_patch]:[2019-05-01]
  • [ro.build.version.security_patch]:[2019-05-05]

2. Почему в этом бюллетене говорится о двух обновлениях системы безопасности?

Мы включили в этот бюллетень сведения о двух обновлениях, чтобы помочь нашим партнерам как можно скорее устранить уязвимости, затрагивающие все устройства Android. Рекомендуем партнерам Android исправить все вышеперечисленные проблемы и установить последнее обновление системы безопасности.

  • На устройствах с установленным обновлением 2019-05-01 должны быть исправлены все охваченные им проблемы, упомянутые в этом бюллетене и предыдущих выпусках.
  • На устройствах с установленным обновлением 2019-05-05 или более поздним должны быть исправлены все проблемы, упомянутые в этом бюллетене и предыдущих выпусках.

Рекомендуем партнерам собрать все исправления проблем в одно обновление.

3. Что означают сокращения в столбце Тип?

В этом столбце указан тип уязвимости по следующей классификации:

Сокращение Описание
УВК Удаленное выполнение кода
ПП Повышение привилегий
РИ Раскрытие информации
ОО Отказ в обслуживании
Н/Д Классификация недоступна

4. Что означает информация в столбце Ссылки?

В таблицах с описанием уязвимостей есть столбец Ссылки. Каждая запись в нем может содержать префикс, указывающий на источник ссылки, а именно:

Префикс Значение
A- Идентификатор ошибки Android
QC- Ссылочный номер Qualcomm
M- Ссылочный номер MediaTek
N- Ссылочный номер NVIDIA
B- Ссылочный номер Broadcom

5. Что означает символ * рядом с идентификатором ошибки Android в столбце Ссылки?

Символ * означает, что исправление для уязвимости не опубликовано. Необходимое обновление содержится в последних бинарных драйверах для устройств Pixel, которые можно скачать на сайте для разработчиков.

6. Почему теперь одни уязвимости описываются в этих бюллетенях, а другие – в бюллетенях по безопасности Pixel , а также в остальных бюллетенях партнеров?

В этом бюллетене описаны уязвимости, которые были устранены в последнем обновлении системы безопасности для устройств Android. Решать дополнительные проблемы, перечисленные в бюллетенях по безопасности партнеров, для этого не потребовалось. Мы рекомендуем производителям чипсетов и устройств Android рассказывать об исправлениях для своих устройств в бюллетенях по безопасности на собственных сайтах. Примеры: бюллетени для Samsung, LGE и Pixel.

Версии

Версия Дата Примечания
1.0 6 мая 2019 г. Бюллетень опубликован.
1.1 6 мая 2019 г. Добавлены ссылки на AOSP.