עלון אבטחה של Android - ספטמבר 2019

פורסם ב -3 בספטמבר 2019 | עודכן ב -5 בספטמבר 2019

עלון האבטחה של Android מכיל פרטים על פרצות אבטחה המשפיעות על מכשירי Android. רמות תיקון האבטחה של 2019-09-05 ואילך מטפלות בכל הבעיות הללו. כדי ללמוד כיצד לבדוק את רמת תיקון האבטחה של המכשיר, ראה בדוק ועדכן את גרסת Android שלך .

שותפי Android מקבלים הודעה על כל הבעיות לפחות חודש לפני הפרסום. תיקוני קוד המקור לבעיות אלה שוחררו למאגר Android Open Source Project (AOSP) וקושרו מעלון זה. עלון זה כולל גם קישורים לתיקונים מחוץ ל- AOSP.

החמורה מבין הבעיות הללו היא פגיעות אבטחה קריטית ברכיב מסגרת המדיה שעשויה לאפשר לתוקף מרוחק המשתמש בקובץ בעל מבנה מיוחד לבצע קוד שרירותי בהקשר לתהליך מורשה. הערכת החומרה מבוססת על ההשפעה שיש לנצל את הפגיעות על מכשיר מושפע, בהנחה שהפלטפורמה והפחתת השירות מושבתים לצורכי פיתוח או אם עוקפים אותם בהצלחה.

לא היו לנו דיווחים על ניצול פעיל של לקוחות או שימוש לרעה בנושאים אלה שדווחו לאחרונה. עיין בסעיף הפחתת האנדרואיד ו- Google Play לפרטים אודות ההגנות על פלטפורמת האבטחה של Android ו- Google Play Protect, המשפרים את האבטחה של פלטפורמת Android.

הפחתת שירותים של Android ו- Google

זהו סיכום הפחתות המסופקות על ידי פלטפורמת האבטחה של Android והגנות שירות כגון Google Play Protect . יכולות אלה מקטינות את הסבירות שניתן לנצל בהצלחה פגיעויות אבטחה באנדרואיד.

  • ניצול לבעיות רבות באנדרואיד מקשה על ידי שיפורים בגרסאות החדשות יותר של פלטפורמת אנדרואיד. אנו ממליצים לכל המשתמשים לעדכן לגרסה האחרונה של Android, במידת האפשר.
  • צוות האבטחה של Android מפקח באופן פעיל על התעללות באמצעות Google Play Protect ומזהיר משתמשים מפני יישומים שעלולים להזיק . הגנה על Google Play מופעלת כברירת מחדל במכשירים עם שירותי המובייל של גוגל , והיא חשובה במיוחד עבור משתמשים שמתקינים אפליקציות מחוץ לגוגל פליי.

2019-09-01 פרטי פגיעות ברמת תיקון האבטחה

בחלקים שלהלן אנו מספקים פרטים על כל אחת מפגיעות האבטחה החלות על רמת התיקון 2019-09-01. פגיעויות מקובצות תחת הרכיב שהן משפיעות. הבעיות מתוארות בטבלאות שלהלן וכוללות מזהה CVE, הפניות משויכות, סוג הפגיעות , חומרתן וגרסאות AOSP מעודכנות (היכן שרלוונטי). כאשר הוא זמין, אנו מקשרים את השינוי הציבורי שעסק בבעיה למזהה הבאג, כמו רשימת השינויים של AOSP. כאשר שינויים מרובים מתייחסים לבאג יחיד, אזכורים נוספים מקושרים למספרים בעקבות מזהה הבאג.

מִסגֶרֶת

הפגיעות הקשה ביותר בסעיף זה עשויה לאפשר ליישום זדוני מקומי לבצע קוד שרירותי בהקשר של תהליך מועדף.

CVE הפניות סוּג חוּמרָה גרסאות AOSP מעודכנות
CVE-2019-2123 A-34175893 [ 2 ] [ 3 ] [ 4 ] EoP גָבוֹהַ 7.1.1, 7.1.2, 8.0, 8.1, 9
CVE-2019-2174 A-132927376 EoP גָבוֹהַ 7.1.1, 7.1.2, 8.0, 8.1, 9
CVE-2019-2175 A-135551349 EoP גָבוֹהַ 9
CVE-2019-9254 A-130164289 EoP גָבוֹהַ 10
CVE-2019-2103 A-120610669 [ 2 ] תְעוּדַת זֶהוּת גָבוֹהַ 9

מסגרת מדיה

הפגיעות הקשה ביותר בסעיף זה עשויה לאפשר לתוקף מרוחק המשתמש בקובץ בעל מבנה מיוחד לבצע קוד שרירותי בהקשר לתהליך מורשה.

CVE הפניות סוּג חוּמרָה גרסאות AOSP מעודכנות
CVE-2019-2176 A-134420911 RCE קריטי 8.0, 8.1, 9
CVE-2019-2108 A-130025324 RCE קריטי 10

מערכת

הפגיעות הקשה ביותר בסעיף זה עשויה לאפשר לתוקף מרוחק באמצעות שידור בעל מבנה מיוחד לבצע קוד שרירותי בהקשר של תהליך מועדף.

CVE הפניות סוּג חוּמרָה גרסאות AOSP מעודכנות
CVE-2019-2177 A-132456322 RCE גָבוֹהַ 7.1.1, 7.1.2, 8.0, 8.1, 9
CVE-2019-2115 A-129768470 [ 2 ] EoP גָבוֹהַ 7.1.1, 7.1.2, 8.0, 8.1, 9
CVE-2019-2178 A-124462242 EoP גָבוֹהַ 7.1.1, 7.1.2, 8.0, 8.1, 9
CVE-2019-2179 A-126200054 תְעוּדַת זֶהוּת גָבוֹהַ 7.1.1, 7.1.2, 8.0, 8.1, 9
CVE-2019-2180 A-110899492 תְעוּדַת זֶהוּת גָבוֹהַ 8.0, 8.1, 9
CVE-2019-2124 A-127320867 [ 2 ] [ 3 ] תְעוּדַת זֶהוּת גָבוֹהַ 7.1.1, 7.1.2, 8.0, 8.1, 9

פרטי פגיעות ברמת תיקון אבטחה 2019-09-05

בסעיפים שלמטה אנו מספקים פרטים על כל אחת מפגיעות האבטחה החלות על רמת התיקון 2019-09-05. פגיעויות מקובצות תחת הרכיב עליו הם משפיעים וכוללות פרטים כגון CVE, הפניות משויכות, סוג הפגיעות , חומרתן , רכיב (במידת הצורך) וגרסאות AOSP מעודכנות (היכן שרלוונטי). כאשר הוא זמין, אנו מקשרים את השינוי הציבורי שעסק בבעיה לזהות הבאג, כגון רשימת השינויים של AOSP. כאשר שינויים מרובים מתייחסים לבאג יחיד, אזכורים נוספים מקושרים למספרים בעקבות מזהה הבאג.

רכיבי ליבה

הפגיעות הקשה ביותר בסעיף זה עשויה לאפשר ליישום זדוני מקומי לבצע קוד שרירותי במסגרת תהליך מורשה.

CVE הפניות סוּג חוּמרָה רְכִיב
CVE-2018-20669 A-135368228 * EoP גָבוֹהַ נהג i915
CVE-2019-2181 A-130571081
גרעין במעלה הזרם
EoP גָבוֹהַ נהג קלסר

רכיבי NVIDIA

הפגיעות הקשה ביותר בסעיף זה עשויה לאפשר ליישום זדוני מקומי לבצע קוד שרירותי במסגרת תהליך מורשה.

CVE הפניות סוּג חוּמרָה רְכִיב
CVE-2018-6240 A-72315181 * EoP גָבוֹהַ BootROM
CVE-2018-6240 A-110169243 * EoP גָבוֹהַ BootROM
CVE-2017-5715 A-73294344 * תְעוּדַת זֶהוּת גָבוֹהַ קושחה מהימנה של ARM

רכיבי קוואלקום

נקודות תורפה אלה משפיעות על רכיבי Qualcomm ומתוארות בפירוט רב יותר בעלון האבטחה המתאים של Qualcomm או התראת האבטחה. הערכת חומרת הנושאים הללו ניתנת ישירות על ידי קוואלקום.

CVE הפניות סוּג חוּמרָה רְכִיב
CVE-2017-17768 A-67748905
QC-CR # 2127172
לא גָבוֹהַ מטען אתחול LK
CVE-2019-2283 A-127513124
QC-CR # 2355425
לא גָבוֹהַ גַרעִין
CVE-2019-2316 A-129848922
QC-CR # 2358397
לא גָבוֹהַ HLOS
CVE-2019-10491 A-132171785
QC-CR # 2380709 [ 2 ]
לא גָבוֹהַ שֶׁמַע
CVE-2019-10505 A-123533258
QC-CR # 2231755
לא גָבוֹהַ מארח WLAN
CVE-2019-10505 A-132171579
QC-CR # 2246426
לא גָבוֹהַ מארח WLAN
CVE-2019-2323 A-132173424
QC-CR # 2370589
לא גָבוֹהַ HLOS
CVE-2019-2324 A-132173296
QC-CR # 2372292
לא גָבוֹהַ שֶׁמַע
CVE-2019-2325 A-132171784
QC-CR # 2372302 [ 2 ]
לא גָבוֹהַ שֶׁמַע
CVE-2019-2331 A-132172905
QC-CR # 2380697 [ 2 ]
לא גָבוֹהַ שֶׁמַע
CVE-2019-2332 A-132171963
QC-CR # 2380699 [ 2 ]
לא גָבוֹהַ שֶׁמַע
CVE-2019-10512 A-134439528
QC-CR # 2380702 [ 2 ]
לא גָבוֹהַ שֶׁמַע
CVE-2019-10515 A-134440011
QC-CR # 2366038 [ 2 ]
לא גָבוֹהַ גַרעִין
CVE-2019-10524 A-134440735
QC-CR # 2422233 [ 2 ] [ 3 ]
לא גָבוֹהַ נהג מצלמה
CVE-2019-10529 A-134439992
QC-CR # 2442261
לא גָבוֹהַ נהג גרפיקה
CVE-2019-10531 A-134441415
QC-CR # 2402890 [ 2 ]
לא גָבוֹהַ גַרעִין
CVE-2018-11891 A-134440013
QC-CR # 2288859
לא גָבוֹהַ מארח WLAN

רכיבי קוד סגור של קוואלקום

נקודות תורפה אלו משפיעות על רכיבי קוד סגור של קוואלקום ומתוארות בפירוט רב יותר בעלון האבטחה המתאים או התראת האבטחה. הערכת חומרת הנושאים הללו ניתנת ישירות על ידי קוואלקום.

CVE הפניות סוּג חוּמרָה רְכִיב
CVE-2019-2258 A-123998354 * לא קריטי רכיב מקור סגור
CVE-2019-10533 A-134437210 * לא קריטי רכיב מקור סגור
CVE-2019-2275 A-127347579 * לא גָבוֹהַ רכיב מקור סגור
CVE-2019-2246 A-127347339 * לא גָבוֹהַ רכיב מקור סגור
CVE-2019-10488 A-132108617 * לא גָבוֹהַ רכיב מקור סגור
CVE-2019-10495 A-132108855 * לא גָבוֹהַ רכיב מקור סגור
CVE-2019-10496 A-132108737 * לא גָבוֹהַ רכיב מקור סגור
CVE-2019-2249 A-132108854 * לא גָבוֹהַ רכיב מקור סגור
CVE-2019-2285 A-132109149 * לא גָבוֹהַ רכיב מקור סגור
CVE-2019-10504 A-134437132 * לא גָבוֹהַ רכיב מקור סגור
CVE-2019-10504 A-134437173 * לא גָבוֹהַ רכיב מקור סגור
CVE-2019-10522 A-134437134 * לא גָבוֹהַ רכיב מקור סגור
CVE-2019-10534 A-134437379 * לא גָבוֹהַ רכיב מקור סגור
CVE-2019-10541 A-134437115 * לא גָבוֹהַ רכיב מקור סגור

שאלות נפוצות ותשובות

חלק זה עונה על שאלות נפוצות שעשויות להתרחש לאחר קריאת העלון הזה.

1. כיצד אוכל לקבוע אם המכשיר שלי מעודכן לטפל בבעיות אלה?

כדי ללמוד כיצד לבדוק את רמת תיקון האבטחה של המכשיר, ראה בדוק ועדכן את גרסת Android שלך .

  • רמות תיקון האבטחה של 2019-09-01 ואילך מטפלות בכל הבעיות הקשורות לרמת תיקון האבטחה 2019-09-01.
  • רמות תיקון האבטחה של 2019-09-05 ואילך מטפלות בכל הבעיות הקשורות לרמת תיקון האבטחה 2019-09-05 ובכל רמות התיקון הקודמות.

יצרני מכשירים הכוללים עדכונים אלה צריכים להגדיר את רמת מחרוזת התיקון ל:

  • [ro.build.version.security_patch]: [2019-09-01]
  • [ro.build.version.security_patch]: [05-09-2019]

2. מדוע בעלון זה כולל שתי רמות תיקון אבטחה?

בעלון זה יש שתי רמות תיקון אבטחה, כך שלשותפי Android יש את הגמישות לתקן מערך משנה של נקודות תורפה שדומות בכל מכשירי Android במהירות רבה יותר. שותפי Android מוזמנים לתקן את כל הבעיות בעלון זה ולהשתמש ברמת תיקון האבטחה העדכנית ביותר.

  • התקנים המשתמשים ברמת תיקון האבטחה 2019-09-01 חייבים לכלול את כל הבעיות הקשורות לאותה רמת תיקון אבטחה, וכן תיקונים לכל הבעיות שדווחו בעלוני האבטחה הקודמים.
  • התקנים המשתמשים ברמת תיקון האבטחה של 05-05-2019 ומעלה חייבים לכלול את כל התיקונים הרלוונטיים בעלוני האבטחה (וקודם) זה.

השותפים מוזמנים לאגד את התיקונים לכל הבעיות שהם מטפלים בהם בעדכון יחיד.

3. מה המשמעות של הערכים בעמודה סוג ?

רשומות בעמודה סוג בטבלת פרטי הפגיעות מתייחסות לסיווג הפגיעות האבטחה.

נוֹטָרִיקוֹן הַגדָרָה
RCE ביצוע קוד מרחוק
EoP הרמת זכות
תְעוּדַת זֶהוּת גילוי מידע
DoS מניעת שירות
לא סיווג אינו זמין

4. מה המשמעות של הערכים בעמודה הפניות ?

רשומות בעמודה הפניות בטבלת פרטי הפגיעות עשויות להכיל קידומת המזהה את הארגון אליו שייך ערך הייחוס.

קידומת התייחסות
א- מזהה באג של Android
QC- מספר התייחסות של קוואלקום
M- מספר הפניה של MediaTek
N- מספר התייחסות של NVIDIA
B- מספר הפניה לברודקום

5. מה המשמעות של * ליד מזהה הבאג של Android בעמודה הפניות ?

לבעיות שאינן זמינות לציבור יש * לצד מזהה הבאג של Android בעמודה הפניות . העדכון לבעיה זו כלול בדרך כלל במנהלי ההתקנים הבינאריים האחרונים למכשירי Pixel הזמינים באתר המפתחים של גוגל .

6. מדוע חולשות אבטחה מפוצלות בין עלון זה לבין עלוני אבטחה של מכשיר / שותף, כמו עלון פיקסל?

פרצות אבטחה המתועדות בעלון אבטחה זה נדרשות להכריז על רמת תיקון האבטחה האחרונה במכשירי Android. פרצות אבטחה נוספות המתועדות בעלוני האבטחה של המכשיר / של השותף אינם נדרשים לצורך הכרזה על רמת תיקון אבטחה. יצרני מכשירי Android וערכת השבבים עשויים גם לפרסם פרטי פגיעות אבטחה ספציפיים למוצריהם, כגון גוגל , Huawei , LGE , מוטורולה , נוקיה או סמסונג .

גרסאות

גִרְסָה תַאֲרִיך הערות
1.0 3 בספטמבר 2019 עלון פורסם
1.1 5 בספטמבר 2019 העלון תוקן כך שיכלול קישורי AOSP