Google se compromete a avanzar en la equidad racial para las comunidades negras. Ver cómo.
Se usó la API de Cloud Translation para traducir esta página.
Switch to English

Seguridad Android Boletín de junio 2020

Publicado el 1 de junio de, 2020 | Actualización: 30 de junio de, 2020

El boletín de seguridad de Android contiene detalles de las vulnerabilidades de seguridad que afectan a los dispositivos Android. niveles de parches de seguridad de 06/05/2020 o posterior dirección de todas estas cuestiones. Para aprender a controlar el nivel del parche de seguridad de un dispositivo, consulte Comprobar y actualizar su versión de Android .

socios de Android son notificados de todas las cuestiones al menos un mes antes de su publicación. parches de código fuente de estos problemas han sido puestos en libertad al repositorio de Android Open Source Project (AOSP) y vinculado desde este boletín. Este boletín también incluye enlaces a los parches fuera del AOSP.

El más grave de estos temas es una vulnerabilidad de seguridad crítica en el componente del sistema que podría permitir a un atacante remoto a través de una transmisión especialmente diseñado para ejecutar código arbitrario en el contexto de un proceso privilegiado. La evaluación de la gravedad se basa en el efecto de que la explotación de la vulnerabilidad podría tener posiblemente en un dispositivo afectado, asumiendo las mitigaciones de plataforma y servicios están apagados para fines de desarrollo o si anuladas con éxito.

Se refieren a la Android y Google Play mitigaciones Protect para obtener más detalles sobre las protecciones de seguridad de la plataforma Android y Google Play Protect, que mejoran la seguridad de la plataforma Android.

mitigaciones de servicio de Android y Google

Este es un resumen de las soluciones proporcionadas por las plataformas de seguridad de Android protecciones y servicios tales como Google Play Protect . Estas capacidades reducen la probabilidad de que las vulnerabilidades de seguridad podrían ser explotadas con éxito en Android.

  • Explotación para muchos problemas en Android se hace más difícil por las mejoras en las nuevas versiones de la plataforma Android. Animamos a todos los usuarios actualizar a la última versión de Android siempre que sea posible.
  • El equipo de seguridad de Android supervisa activamente para el abuso a través de Google Play Proteger y advierte a los usuarios sobre las aplicaciones potencialmente nocivos . Google Play Protect está activado por defecto en los dispositivos con Google servicios móviles , y es especialmente importante para los usuarios que instalen aplicaciones desde fuera de Google Play.

06/01/2020 detalles de la vulnerabilidad de seguridad de nivel de parche

En las siguientes secciones, proporcionamos los detalles para cada una de las vulnerabilidades de seguridad que se aplican a nivel 06/01/2020 parche. Las vulnerabilidades se agrupan en el componente al que afectan. Los problemas se describen en las tablas a continuación e incluyen CVE ID, referencias asociadas, tipo de vulnerabilidad , severidad , y las versiones AOSP actualizadas (en su caso). Cuando esté disponible, ligamos el cambio público que abordó la cuestión de la identificación de errores, al igual que la lista de cambios AOSP. Cuando varios cambios se refieren a un solo fallo, referencias adicionales están vinculados a los números siguientes el ID del error. Los dispositivos con Android 10 y más tarde pueden recibir las actualizaciones de seguridad, así como las actualizaciones del sistema de reproducción de Google .

Marco de referencia

La vulnerabilidad más grave en esta sección podría permitir a una aplicación maliciosa local para los requisitos de interacción con el usuario de derivación con el fin de obtener acceso a permisos adicionales.

CVE referencias Tipo Gravedad versiones actualizadas AOSP
CVE-2020-0114
A-147606347 EOP Alto 10
CVE-2020-0115
A-150038428 EOP Alto 8,0, 8,1, 9, 10
CVE-2020-0121
A-148180766 [ 2 ] CARNÉ DE IDENTIDAD Alto 10

Media Framework

La vulnerabilidad más grave en esta sección podría permitir a una aplicación maliciosa local para los requisitos de interacción con el usuario de derivación con el fin de obtener acceso a permisos adicionales.

CVE referencias Tipo Gravedad versiones actualizadas AOSP
CVE-2020-0118
A-150904694 EOP Alto 10
CVE-2020-0113
A-150944913 CARNÉ DE IDENTIDAD Alto 9, 10

Sistema

La vulnerabilidad más grave en esta sección podría permitir a un atacante remoto a través de una transmisión especialmente diseñado para ejecutar código arbitrario en el contexto de un proceso privilegiado.

CVE referencias Tipo Gravedad versiones actualizadas AOSP
CVE-2020-0117
A-151155194 RCE Crítico 8,0, 8,1, 9, 10
CVE-2020-8597
A-151153886 RCE Crítico 8,0, 8,1, 9, 10
CVE-2020-0116
A-151330809 CARNÉ DE IDENTIDAD Alto 10
CVE-2020-0119
A-150500247 [ 2 ] CARNÉ DE IDENTIDAD Alto 10

actualizaciones del sistema de reproducción de Google

No hay problemas de seguridad se abordan en las actualizaciones del sistema de reproducción de Google (Proyecto de la línea principal) de este mes.

06/05/2020 detalles de la vulnerabilidad de seguridad de nivel de parche

En las siguientes secciones, proporcionamos los detalles para cada una de las vulnerabilidades de seguridad que se aplican a nivel 06/05/2020 parche. Las vulnerabilidades se agrupan en el componente al que afectan. Los problemas se describen en las tablas a continuación e incluyen CVE ID, referencias asociadas, tipo de vulnerabilidad , severidad , y las versiones AOSP actualizadas (en su caso). Cuando esté disponible, ligamos el cambio público que abordó la cuestión de la identificación de errores, al igual que la lista de cambios AOSP. Cuando varios cambios se refieren a un solo fallo, referencias adicionales están vinculados a los números siguientes el ID del error.

Sistema

La vulnerabilidad en esta sección podría permitir a un atacante remoto requisitos de interacción del usuario de derivación con el fin de obtener acceso a permisos adicionales.

CVE referencias Tipo Gravedad versiones actualizadas AOSP
CVE-2019-9460
A-62535446 EOP Alto 10

componentes del núcleo

La vulnerabilidad más grave en esta sección podría permitir a un atacante local usando una aplicación especialmente diseñada para ejecutar código arbitrario en el contexto de un proceso privilegiado.

CVE referencias Tipo Gravedad Componente
CVE-2020-8647
A-149079134
kernel
EOP Alto el soporte del núcleo TTY
CVE-2020-8648
A-149079230
Kernel Upstream [ 2 ] [ 3 ]
EOP Alto el soporte del núcleo TTY
CVE-2020-8428
A-148713787
Kernel Upstream [ 2 ]
CARNÉ DE IDENTIDAD Alto Núcleo

componentes Qualcomm

Estas vulnerabilidades afectan a los componentes de Qualcomm y se describen con más detalle en la alerta boletín de seguridad Qualcomm o de seguridad apropiado. La evaluación de la gravedad de estos problemas es proporcionada directamente por Qualcomm.

CVE referencias Tipo Gravedad Componente
CVE-2017-9704
A-35099636
QC-CR # 2013052 [ 2 ]
QC-CR # 2070526
QC-CR # 2076578 [ 2 ]
N / A Alto Cámara
CVE-2.019 hasta 14.047
A-145545249
QC-CR # 2279971 [ 2 ]
N / A Alto Núcleo
CVE-2020-3665
A-150697775
QC-CR # 2174506
N / A Alto WLAN
CVE-2019-9460
A-66876469
QC-CR # 2207338 *
N / A Moderar Monitor

componentes de código cerrado Qualcomm

Estas vulnerabilidades afectan a Qualcomm componentes de código cerrado y se describen con más detalle en la alerta boletín de seguridad Qualcomm o de seguridad apropiado. La evaluación de la gravedad de estos problemas es proporcionada directamente por Qualcomm.

CVE referencias Tipo Gravedad Componente
CVE-2019-14073
A-145546513 * N / A Crítico componente de código cerrado
CVE-2019 hasta 14.080
A-145545821 * N / A Crítico componente de código cerrado
CVE-2019-10597
A-145545755 * N / A Alto componente de código cerrado
CVE-2019 a 14062
A-145545091 * N / A Alto componente de código cerrado
CVE-2019-14076
A-145545285 * N / A Alto componente de código cerrado
CVE-2020-3614
A-140973436 * N / A Alto componente de código cerrado
CVE-2020-3626
A-150697952 * N / A Alto componente de código cerrado
CVE-2020-3628
A-150695508 * N / A Alto componente de código cerrado
CVE-2020-3635
A-148817146 * N / A Alto componente de código cerrado
CVE-2020-3642
A-150697435 * N / A Alto componente de código cerrado
CVE-2020-3658
A-150697838 * N / A Alto componente de código cerrado
CVE-2020-3660
A-150695050 * N / A Alto componente de código cerrado
CVE-2020-3661
A-150695169 * N / A Alto componente de código cerrado
CVE-2020-3662
A-150696661 * N / A Alto componente de código cerrado
CVE-2020-3663
A-150697436 * N / A Alto componente de código cerrado
CVE-2020-3676
A-152310294 * N / A Alto componente de código cerrado

preguntas y respuestas comunes

Esta sección responde a las preguntas más comunes que pueden ocurrir después de leer este boletín.

1. ¿Cómo puedo determinar si el dispositivo se actualiza para abordar estas cuestiones?

Para aprender a controlar el nivel del parche de seguridad de un dispositivo, consulte Comprobar y actualizar su versión de Android .

  • Niveles de parches de seguridad de 06/01/2020 o posterior abordan todas las cuestiones relacionadas con el nivel de parches de seguridad 01/06/2020.
  • Niveles de parches de seguridad de 06/05/2020 o posterior abordan todas las cuestiones relacionadas con el nivel de parches de seguridad 06/05/2020 y todos los niveles de parches anteriores.

Los fabricantes de dispositivos que incluyen estas actualizaciones deben establecer el nivel de cadena de parche para:

  • [Ro.build.version.security_patch]: [01/06/2020]
  • [Ro.build.version.security_patch]: [05/06/2020]

Para algunos dispositivos en Android 10 o posterior, la actualización del sistema de Google Play tendrá una cadena de fecha que coincide con el nivel de parche de seguridad 06/01/2020. Por favor, vea este artículo para más detalles sobre cómo instalar las actualizaciones de seguridad.

2. ¿Por qué este boletín tiene dos niveles de parches de seguridad?

Este boletín tiene dos niveles de parches de seguridad para que los socios de Android tienen la flexibilidad para fijar un subconjunto de vulnerabilidades que son similares en todos los dispositivos Android más rápidamente. Se alienta a los socios de Android para arreglar todos los problemas en este boletín y utilizar el último nivel de parches de seguridad.

  • Los dispositivos que utilizan el nivel de parches de seguridad 06/01/2020 deben incluir todos los temas asociados con ese nivel de parches de seguridad, así como soluciones para todos los problemas reportados en los boletines de seguridad anteriores.
  • Los dispositivos que utilizan el nivel de parches de seguridad del 05/06/2020 o posterior deben incluir todos los parches aplicables en este (y anteriores) boletines de seguridad.

Se anima a los socios de agrupar las correcciones para todas las cuestiones que se dirigen en una sola actualización.

3. ¿Qué hacer las entradas en la columna Tipo de la media?

Las entradas en la columna Tipo de la vulnerabilidad detalles Referencia mesa de la clasificación de la vulnerabilidad de seguridad.

Abreviatura Definición
RCE ejecución remota de código
EOP La elevación de privilegios
CARNÉ DE IDENTIDAD la divulgación de información
DoS Negación de servicio
N / A Clasificación no disponible

4. ¿Qué hacer las entradas en la columna de media Referencias?

Entradas en la columna de las referencias de la tabla de detalles de la vulnerabilidad pueden contener un prefijo que identifica la organización a la que pertenece el valor de referencia.

Prefijo Referencia
UNA- Android bug ID
QC- número de referencia Qualcomm
METRO- número de referencia MediaTek
NORTE- Número de referencia de NVIDIA
SI- número de referencia Broadcom

5. ¿Qué hace un * junto al ID de error de Android en la media columna Referencias?

Temas que no están a disposición del público tienen un * junto al ID de referencia correspondiente. La actualización para esa cuestión está contenida generalmente en los últimos controladores para los dispositivos binarios de píxeles disponibles en el sitio para desarrolladores de Google .

6. ¿Por qué son las vulnerabilidades de seguridad dividido entre este boletín y el dispositivo / boletines de seguridad asociados, tales como el boletín de píxeles?

Se requieren las vulnerabilidades de seguridad que se documentan en este boletín de seguridad para declarar el nivel más reciente revisión de seguridad en los dispositivos Android. vulnerabilidades de seguridad adicionales que se documentan en los boletines de seguridad de dispositivos / socios no son necesarios para la declaración de un nivel de parches de seguridad. Dispositivos y chipset fabricantes de Android también pueden publicar detalles de la vulnerabilidad de seguridad específico para sus productos, tales como Google , Huawei , LGE , Motorola , Nokia o Samsung .

versiones

Versión Fecha notas
1.0 01 de junio 2020 publicación del boletín
1.1 02 de junio 2020 Boletín revisado para incluir enlaces AOSP
1.2 11 de junio de, 2020 CVE tabla revisada
1.3 30 de de junio de, 2020 CVE tabla revisada