Бюллетень по безопасности Android – май 2020 г.

Опубликовано 4 мая 2020 г. | Обновлено 7 мая 2020 г.

В этом бюллетене содержится информация об уязвимостях в защите устройств Android. Все проблемы, перечисленные здесь, устранены в исправлении 2020-05-05 или более новом. Информацию о том, как проверить версию исправления системы безопасности на устройстве, можно найти в Справочном центре.

Мы сообщили партнерам обо всех проблемах по крайней мере за месяц до выхода бюллетеня. Исправления уязвимостей доступны в хранилище Android Open Source Project (AOSP). В бюллетене также приведены ссылки на исправления вне AOSP.

Самая серьезная из проблем – критическая уязвимость в компоненте "Система", позволяющая злоумышленнику удаленно выполнять произвольный код в контексте привилегированного процесса с помощью специально созданной передачи данных. Уровень серьезности зависит от того, какой ущерб потенциально может быть нанесен устройству, если средства защиты будут отключены в целях разработки или злоумышленнику удастся их обойти.

О том, как платформа безопасности и Google Play Защита помогают снизить вероятность использования уязвимостей Android, рассказывается в разделе Предотвращение атак.

Предотвращение атак

Здесь описано, как платформа безопасности Android и средства защиты сервисов, например Google Play Защита, позволяют снизить вероятность успешного использования уязвимостей Android.

  • В новых версиях Android сложнее использовать многие уязвимости, поэтому мы рекомендуем всем пользователям своевременно обновлять систему.
  • Команда, отвечающая за безопасность Android, активно отслеживает с помощью Google Play Защиты случаи злоупотребления и предупреждает пользователей об установке потенциально опасных приложений. Google Play Защита по умолчанию включена на телефонах и планшетах, использующих сервисы Google для мобильных устройств. Она особенно важна, если устанавливаются приложения не из Google Play.

Описание уязвимостей (исправление системы безопасности 2020-05-01)

В этом разделе вы найдете подробную информацию обо всех уязвимостях, устраненных в исправлении системы безопасности 2020-05-01. Проблемы сгруппированы по компонентам, которые они затрагивают. Для каждого случая приведена таблица, где указаны CVE, ссылки, тип уязвимости, уровень серьезности и, если применимо, версии AOSP. Где возможно, мы добавляем к идентификатору ошибки ссылку на опубликованное изменение (например, список AOSP). Если таких изменений несколько, дополнительные ссылки приводятся в квадратных скобках. Устройства с Android 10 или более поздней версией ОС могут получать обновления системы безопасности, а также обновления системы через Google Play.

Framework

Самая серьезная уязвимость позволяет злоумышленнику локально выполнять произвольный код в контексте привилегированного процесса с помощью специально созданного файла.

CVE Ссылки Тип Уровень серьезности Обновленные версии AOSP
CVE-2020-0096 A-145669109 [2] EoP Критический 8.0, 8.1, 9
CVE-2020-0097 A-145981139 [2] [3] EoP Высокий 9, 10
CVE-2020-0098 A-144285917 EoP Высокий 8.0, 8.1, 9, 10

Media Framework

Самая серьезная уязвимость позволяет злоумышленнику локально обходить требования относительно взаимодействия с пользователем и затем получать доступ к дополнительным разрешениям.

CVE Ссылки Тип Уровень серьезности Обновленные версии AOSP
CVE-2020-0094 A-148223871 EoP Высокий 9, 10
CVE-2020-0093 A-148705132 ID Высокий 8.0, 8.1, 9, 10
CVE-2020-0100 A-150156584 ID Высокий 8.0, 8.1
CVE-2020-0101 A-144767096 ID Высокий 8.0, 8.1, 9, 10

Система

Самая серьезная уязвимость позволяет злоумышленнику выполнять произвольный код в контексте привилегированного процесса с помощью специально созданной передачи данных.

CVE Ссылки Тип Уровень серьезности Обновленные версии AOSP
CVE-2020-0103 A-148107188 RCE Критический 9, 10
CVE-2020-0102 A-143231677 EoP Высокий 8.0, 8.1, 9, 10
CVE-2020-0109 A-148059175 EoP Высокий 9, 10
CVE-2020-0105 A-144285084 EoP Высокий 9, 10
CVE-2020-0024 A-137015265 [2] EoP Высокий 8.0, 8.1, 9, 10
CVE-2020-0092 A-145135488 ID Высокий 10
CVE-2020-0106 A-148414207 ID Высокий 10
CVE-2020-0104 A-144430870 ID Средний 9, 10

Обновления системы через Google Play

В этом месяце в обновлениях системы через Google Play (Project Mainline) нет исправлений для уязвимостей.

Описание уязвимостей (исправление системы безопасности 2020-05-05)

В этом разделе вы найдете подробную информацию обо всех уязвимостях, устраненных в исправлении системы безопасности 2020-05-05. Проблемы сгруппированы по компонентам, которые они затрагивают. Для каждого случая приведена таблица, где указаны CVE, ссылки, тип уязвимости, уровень серьезности, а также, если применимо, компонент и версии AOSP. Где возможно, мы добавляем к идентификатору ошибки ссылку на опубликованное изменение (например, список AOSP). Если таких изменений несколько, дополнительные ссылки указываются в квадратных скобках.

Компоненты ядра

Самая серьезная уязвимость позволяет злоумышленнику локально выполнять произвольный код в контексте привилегированного процесса с помощью специально созданного файла.

CVE Ссылки Тип Уровень серьезности Компонент
CVE-2020-0110 A-148159562
Upstream kernel
EoP Высокий Планировщик ядра
CVE-2019-19536 A-146642883
Upstream kernel
ID Высокий Драйвер PCAN-USB

Компоненты MediaTek

Самая серьезная уязвимость позволяет злоумышленнику с привилегированным доступом локально получать доступ к конфиденциальным данным.

CVE Ссылки Тип Уровень серьезности Компонент
CVE-2020-0064 A-149866855*
M-ALPS04737871
ID Высокий Omacp
CVE-2020-0065 A-149813448*
M-ALPS04886658
ID Высокий Android Suite Daemon
CVE-2020-0090 A-149813048*
M-ALPS04983879
ID Высокий Электронная почта
CVE-2020-0091 A-149808700*
M-ALPS04356368
ID Высокий mnld

Компоненты Qualcomm

Эти уязвимости затрагивают компоненты Qualcomm. Они описаны в бюллетенях по безопасности или оповещениях системы безопасности Qualcomm. Уровень серьезности этих проблем определяется непосредственно компанией Qualcomm.

CVE Ссылки Тип Уровень серьезности Компонент
CVE-2019-14053 A-143902261
QC-CR#2317498
Н/Д Высокий Ядро
CVE-2019-14087 A-145546454
QC-CR#2165928
Н/Д Высокий Экран
CVE-2020-3610 A-148816869
QC-CR#2460844 [2]
Н/Д Высокий Экран
CVE-2020-3615 A-148817147
QC-CR#2256679 [2]
QC-CR#2258844
Н/Д Высокий WLAN
CVE-2020-3623 A-148815534*
QC-CR#2472080
Н/Д Высокий Безопасность
CVE-2020-3625 A-148816727*
QC-CR#2493825
Н/Д Высокий Безопасность
CVE-2020-3630 A-148816037
QC-CR#2534752 [2]
Н/Д Высокий Видео
CVE-2020-3680 A-144350801
QC-CR#2597382
Н/Д Высокий Ядро

Компоненты Qualcomm с закрытым исходным кодом

Указанные ниже уязвимости затрагивают компоненты Qualcomm с закрытым исходным кодом и подробно описаны в бюллетенях по безопасности или в оповещениях системы безопасности Qualcomm. Уровень серьезности этих уязвимостей определяется непосредственно компанией Qualcomm.

CVE Ссылки Тип Уровень серьезности Компонент
CVE-2020-3641 A-148816624* Н/Д Критический Компонент с закрытым исходным кодом
CVE-2019-14054 A-143902264* Н/Д Высокий Компонент с закрытым исходным кодом
CVE-2019-14066 A-143903296* Н/Д Высокий Компонент с закрытым исходным кодом
CVE-2019-14067 A-143902707* Н/Д Высокий Компонент с закрытым исходным кодом
CVE-2019-14077 A-143903001* Н/Д Высокий Компонент с закрытым исходным кодом
CVE-2019-14078 A-143902885* Н/Д Высокий Компонент с закрытым исходным кодом
CVE-2020-3616 A-148816292* Н/Д Высокий Компонент с закрытым исходным кодом
CVE-2020-3618 A-148817245* Н/Д Высокий Компонент с закрытым исходным кодом
CVE-2020-3633 A-148816216* Н/Д Высокий Компонент с закрытым исходным кодом
CVE-2020-3645 A-148816217* Н/Д Высокий Компонент с закрытым исходным кодом

Часто задаваемые вопросы

В этом разделе мы отвечаем на вопросы, которые могут возникнуть после прочтения бюллетеня.

1. Как определить, установлено ли на устройство обновление, в котором устранены перечисленные проблемы?

Информацию о том, как проверить версию исправления системы безопасности на устройстве, можно найти в Справочном центре.

  • В исправлении 2020-05-01 и более поздних устранены все проблемы, соответствующие исправлению системы безопасности 2020-05-01 и всем предыдущим исправлениям.
  • В исправлении 2020-05-05 и более поздних устранены все проблемы, соответствующие исправлению системы безопасности 2020-05-05 и всем предыдущим исправлениям.

Производители устройств, распространяющие эти обновления, должны установить следующие уровни:

  • [ro.build.version.security_patch]:[2020-05-01]
  • [ro.build.version.security_patch]:[2020-05-05]

В обновлении системы через Google Play для некоторых устройств с ОС Android 10 или более поздней версии будет указана дата, совпадающая с датой исправления 2020-05-01. Подробные сведения об установке обновлений системы безопасности можно найти в этой статье.

2. Почему в этом бюллетене говорится о двух исправлениях для системы безопасности?

Мы включили в этот бюллетень сведения о двух исправлениях, чтобы помочь нашим партнерам как можно скорее устранить уязвимости, затрагивающие все устройства Android. Рекомендуем партнерам Android устранить все перечисленные выше проблемы и установить последнее исправление для системы безопасности.

  • На устройствах с установленным исправлением 2020-05-01 должны быть устранены все охваченные им проблемы, а также уязвимости, упомянутые в предыдущих выпусках бюллетеня.
  • На устройствах с установленным исправлением 2020-05-05 или более новым должны быть исправлены все проблемы, упомянутые в этом бюллетене и предыдущих выпусках.

Рекомендуем партнерам собрать все исправления проблем в одно обновление.

3. Что означают сокращения в столбце Тип?

В этом столбце указан тип уязвимости по следующей классификации:

Сокращение Описание
RCE Удаленное выполнение кода (Remote code execution)
EoP Повышение привилегий (Elevation of privilege)
ID Раскрытие информации (Information disclosure)
DoS Отказ в обслуживании (Denial of service)
Н/Д Классификация недоступна

4. Что означает информация в столбце Ссылки?

В таблицах с описанием уязвимостей есть столбец Ссылки. Каждая запись в нем может содержать префикс, указывающий на источник ссылки, а именно:

Префикс Значение
A- Идентификатор ошибки Android
QC- Ссылочный номер Qualcomm
M- Ссылочный номер MediaTek
N- Ссылочный номер NVIDIA
B- Ссылочный номер Broadcom

5. Что означает символ * рядом с идентификатором ошибки Android в столбце Ссылки?

Символ * означает, что исправление для уязвимости не опубликовано. Необходимое обновление обычно содержится в последних исполняемых файлах драйверов для устройств Pixel, которые можно скачать с сайта Google Developers.

6. Почему теперь одни уязвимости описываются в этих бюллетенях, а другие – в бюллетенях по безопасности Pixel, а также в остальных бюллетенях партнеров?

В этом бюллетене описаны уязвимости, устранить которые необходимо для соответствия последнему уровню исправления Android. Решать дополнительные проблемы, перечисленные в бюллетенях по безопасности партнеров, для этого не требуется. Некоторые производители, например Google, Huawei, LG, Motorola, Nokia и Samsung, также публикуют информацию о проблемах, связанных с безопасностью выпускаемых ими устройств Android и чипсетов.

Версии

Версия Дата Примечания
1.0 4 мая 2020 г. Бюллетень опубликован.
1.1 7 мая 2020 г. Добавлены ссылки на AOSP.