Опубликовано 6 мая 2019 г. | Обновлено 6 мая 2019 г.
В этом бюллетене по безопасности содержится информация об уязвимостях в защите устройств Android. Все перечисленные здесь проблемы устранены в исправлении от 5 мая 2019 года или более позднем. Информацию о том, как проверить версию системы безопасности на своем устройстве, можно найти в статье Справочного центра.
Мы сообщаем партнерам обо всех проблемах не менее чем за месяц до выхода бюллетеня. Исправления уязвимостей доступны в хранилище Android Open Source Project (AOSP). В этом бюллетене приведены ссылки на все исправления, в том числе расположенные вне AOSP.
Самая серьезная проблема – критическая уязвимость в Media Framework, которая в случае использования могла бы позволить злоумышленникам удаленно выполнить произвольный код в контексте привилегированного процесса с помощью специально созданного файла. Уровень серьезности зависит от того, какой ущерб будет нанесен устройству, если злоумышленник воспользуется уязвимостью и сможет обойти средства защиты или их отключит разработчик.
Мы не получали сообщений об использовании недавно обнаруженных уязвимостей. Сведения о том, как платформа безопасности и Google Play Защита помогают снизить вероятность атак на Android, можно найти в разделе Предотвращение атак.
Примечание. Информация о последних беспроводных обновлениях и образах встроенного ПО для устройств Google содержится в бюллетене по обновлениям Pixel за май 2019 года.
Предотвращение атак
В этом разделе рассказывается о том, как платформа безопасности и средства защиты сервисов, например Google Play Защита, позволяют снизить вероятность атак на Android.
- В новых версиях Android сложнее использовать многие уязвимости, поэтому мы рекомендуем всем пользователям своевременно обновлять систему.
- Команда, отвечающая за безопасность Android, активно отслеживает нарушения с помощью Google Play Защиты и предупреждает пользователей об установке потенциально опасных приложений. Google Play Защита включена по умолчанию на всех устройствах, использующих сервисы Google для мобильных устройств. Она особенно пригодится пользователям, которые устанавливают приложения из сторонних источников.
Описание уязвимостей (обновление системы безопасности 2019-05-01)
В этом разделе вы найдете подробную информацию обо всех уязвимостях, устраненных в обновлении системы безопасности 2019-05-01. Проблемы сгруппированы по компонентам, которые они затрагивают. Для каждой уязвимости есть описание и таблица, где указан номер CVE, ссылки, тип, уровень серьезности и номера обновленных версий AOSP (при наличии). Где возможно, идентификаторы ошибки содержат ссылку на опубликованное изменение (например, список AOSP). Дополнительные ссылки перечислены в квадратных скобках.
Framework
Описанная ниже уязвимость позволяет локальному вредоносному ПО обойти требования к взаимодействию с пользователем, чтобы получить доступ к дополнительным разрешениям.
| CVE | Ссылки | Тип | Уровень серьезности | Обновленные версии AOSP |
|---|---|---|---|---|
| CVE-2019-2043 | A-120484087 | ПП | Средний | 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9 |
Media Framework
Описанная ниже уязвимость позволяет злоумышленнику выполнять произвольный код в контексте привилегированного процесса с помощью специально созданного файла.
| CVE | Ссылки | Тип | Уровень серьезности | Обновленные версии AOSP |
|---|---|---|---|---|
| CVE-2019-2044 | A-123701862 | УВК | Критический | 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9 |
Система
Самая серьезная уязвимость в этом разделе позволяет злоумышленнику выполнять произвольный код в контексте привилегированного процесса с помощью специально созданного PAC-файла.
| CVE | Ссылки | Тип | Уровень серьезности | Обновленные версии AOSP |
|---|---|---|---|---|
| CVE-2019-2045 | A-117554758 | УВК | Критический | 7.0, 7.1.1, 7.1.2, 8.1, 9 |
| CVE-2019-2046 | A-117556220 | УВК | Критический | 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9 |
| CVE-2019-2047 | A-117607414 | УВК | Критический | 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9 |
| CVE-2019-2049 | A-120445479 | ПП | Высокий | 9 |
| CVE-2019-2050 | A-121327323 | ПП | Высокий | 8.0, 8.1, 9 |
| CVE-2019-2051 | A-117555811 | РИ | Высокий | 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9 |
| CVE-2019-2052 | A-117556606 | РИ | Высокий | 7.0, 7.1.1, 7.1.2, 8.1, 9 |
| CVE-2019-2053 | A-122074159 | РИ | Высокий | 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9 |
Описание уязвимостей (обновление системы безопасности 2019-05-05)
В этом разделе вы найдете подробную информацию обо всех уязвимостях, устраненных в обновлении системы безопасности 2019-05-05. Проблемы сгруппированы по компонентам, которые они затрагивают. Для каждой уязвимости приведена таблица, где указан номер CVE, ссылки, тип, уровень серьезности, а также название компонента и номера обновленных версий AOSP (при наличии). Где возможно, идентификаторы ошибки содержат ссылку на опубликованное изменение (например, список AOSP). Когда несколько изменений относятся к одной ошибке, дополнительные ссылки перечислены в квадратных скобках.
Компоненты ядра
Описанная ниже уязвимость позволяет злоумышленнику, не обладающему дополнительными правами на выполнение кода, локально повышать привилегии в контексте привилегированного процесса.
| CVE | Ссылки | Тип | Уровень серьезности | Компонент |
|---|---|---|---|---|
| CVE-2019-2054 | A-119769499* | ПП | Средний | seccomp |
Компоненты NVIDIA
Описанная ниже уязвимость позволяет злоумышленнику, обладающему дополнительными правами на выполнение кода, локально повышать привилегии и выполнять произвольный код в контексте привилегированного процесса.
| CVE | Ссылки | Тип | Уровень серьезности | Компонент |
|---|---|---|---|---|
| CVE-2018-6243 | A-72315075* | ПП | Высокий | Pixel C TrustZone |
Компоненты Broadcom
Описанная ниже уязвимость позволяет злоумышленнику выполнять код в контексте привилегированного процесса с помощью специально созданной передачи.
| CVE | Ссылки | Тип | Уровень серьезности | Компонент |
|---|---|---|---|---|
| CVE-2018-19860 | A-122249979* | УВК | Высокий | Встроенное ПО Bluetooth |
Компоненты Qualcomm
Эти уязвимости затрагивают компоненты Qualcomm. Они описаны в бюллетенях по безопасности Qualcomm или оповещениях системы безопасности. Уровень серьезности этих уязвимостей определяется непосредственно компанией Qualcomm.
| CVE | Ссылки | Тип | Уровень серьезности | Компонент |
|---|---|---|---|---|
| CVE-2018-11955 | A-78528839 QC-CR#2249768 |
Н/Д | Высокий | Драйвер WLAN |
| CVE-2018-13919 | A-120486022 QC-CR#2289598 |
Н/Д | Высокий | Данные HLOS – LNX |
Компоненты Qualcomm с закрытым исходным кодом
Эти уязвимости затрагивают компоненты Qualcomm с закрытым исходным кодом. Они описаны в бюллетенях по безопасности Qualcomm или в оповещениях системы безопасности. Уровень серьезности этих уязвимостей определяется непосредственно компанией Qualcomm.
| CVE | Ссылки | Тип | Уровень серьезности | Компонент |
|---|---|---|---|---|
| CVE-2018-5912 | A-114074547* | Н/Д | Критический | Компонент с закрытым исходным кодом |
| CVE-2018-13898 | A-119050181* | Н/Д | Критический | Компонент с закрытым исходным кодом |
| CVE-2019-2255 | A-122474428* | Н/Д | Критический | Компонент с закрытым исходным кодом |
| CVE-2019-2256 | A-114067283* | Н/Д | Критический | Компонент с закрытым исходным кодом |
| CVE-2018-13901 | A-119049466* | Н/Д | Высокий | Компонент с закрытым исходным кодом |
| CVE-2018-13902 | A-119050073* | Н/Д | Высокий | Компонент с закрытым исходным кодом |
| CVE-2018-13906 | A-119049388* | Н/Д | Высокий | Компонент с закрытым исходным кодом |
| CVE-2018-13907 | A-119050001* | Н/Д | Высокий | Компонент с закрытым исходным кодом |
| CVE-2018-13908 | A-119049623* | Н/Д | Высокий | Компонент с закрытым исходным кодом |
| CVE-2018-13909 | A-119051002* | Н/Д | Высокий | Компонент с закрытым исходным кодом |
| CVE-2018-13910 | A-119050182* | Н/Д | Высокий | Компонент с закрытым исходным кодом |
| CVE-2018-13911 | A-119052037* | Н/Д | Высокий | Компонент с закрытым исходным кодом |
| CVE-2018-5913 | A-122472140* | Н/Д | Высокий | Компонент с закрытым исходным кодом |
| CVE-2019-2257 | A-112303441* | Н/Д | Высокий | Компонент с закрытым исходным кодом |
| CVE-2019-2259 | A-123997497* | Н/Д | Высокий | Компонент с закрытым исходным кодом |
Часто задаваемые вопросы
В этом разделе мы отвечаем на вопросы, которые могут возникнуть после прочтения бюллетеня.
1. Как определить, установлено ли на устройство обновление, в котором устранены перечисленные проблемы?
Информацию о том, как проверить обновления системы безопасности, можно найти в Справочном центре.
- В исправлении 2019-05-01 или более позднем устранены все проблемы, описанные в разделе "Обновление системы безопасности 2019-05-01".
- В исправлении 2019-05-05 или более позднем устранены все проблемы, описанные в разделе "Обновление системы безопасности 2019-05-05" и предыдущих обновлениях системы безопасности.
Производители устройств, позволяющие установить эти обновления, должны присвоить им один из этих уровней:
- [ro.build.version.security_patch]:[2019-05-01]
- [ro.build.version.security_patch]:[2019-05-05]
2. Почему в этом бюллетене говорится о двух обновлениях системы безопасности?
Мы включили в этот бюллетень сведения о двух обновлениях, чтобы помочь нашим партнерам как можно скорее устранить уязвимости, затрагивающие все устройства Android. Рекомендуем партнерам Android исправить все вышеперечисленные проблемы и установить последнее обновление системы безопасности.
- На устройствах с установленным обновлением 2019-05-01 должны быть исправлены все охваченные им проблемы, упомянутые в этом бюллетене и предыдущих выпусках.
- На устройствах с установленным обновлением 2019-05-05 или более поздним должны быть исправлены все проблемы, упомянутые в этом бюллетене и предыдущих выпусках.
Рекомендуем партнерам собрать все исправления проблем в одно обновление.
3. Что означают сокращения в столбце Тип?
В этом столбце указан тип уязвимости по следующей классификации:
| Сокращение | Описание |
|---|---|
| УВК | Удаленное выполнение кода |
| ПП | Повышение привилегий |
| РИ | Раскрытие информации |
| ОО | Отказ в обслуживании |
| Н/Д | Классификация недоступна |
4. Что означает информация в столбце Ссылки?
В таблицах с описанием уязвимостей есть столбец Ссылки. Каждая запись в нем может содержать префикс, указывающий на источник ссылки, а именно:
| Префикс | Значение |
|---|---|
| A- | Идентификатор ошибки Android |
| QC- | Ссылочный номер Qualcomm |
| M- | Ссылочный номер MediaTek |
| N- | Ссылочный номер NVIDIA |
| B- | Ссылочный номер Broadcom |
5. Что означает символ * рядом с идентификатором ошибки Android в столбце Ссылки?
Символ * означает, что исправление для уязвимости не опубликовано. Необходимое обновление содержится в последних бинарных драйверах для устройств Pixel, которые можно скачать на сайте для разработчиков.
6. Почему теперь одни уязвимости описываются в этих бюллетенях, а другие – в бюллетенях по безопасности Pixel , а также в остальных бюллетенях партнеров?
В этом бюллетене описаны уязвимости, которые были устранены в последнем обновлении системы безопасности для устройств Android. Решать дополнительные проблемы, перечисленные в бюллетенях по безопасности партнеров, для этого не потребовалось. Мы рекомендуем производителям чипсетов и устройств Android рассказывать об исправлениях для своих устройств в бюллетенях по безопасности на собственных сайтах. Примеры: бюллетени для Samsung, LGE и Pixel.
Версии
| Версия | Дата | Примечания |
|---|---|---|
| 1.0 | 6 мая 2019 г. | Бюллетень опубликован. |
| 1.1 | 6 мая 2019 г. | Добавлены ссылки на AOSP. |