Google se compromete a avanzar en la equidad racial para las comunidades negras. Ver cómo.
Se usó la API de Cloud Translation para traducir esta página.
Switch to English

Seguridad Android Boletín de julio 2020

Publicado el 6 de julio de, 2020 | Actualizado hace 8 de julio de, 2020

El boletín de seguridad de Android contiene detalles de las vulnerabilidades de seguridad que afectan a los dispositivos Android. niveles de parches de seguridad de 07/05/2020 o posterior dirección de todas estas cuestiones. Para aprender a controlar el nivel del parche de seguridad de un dispositivo, consulte Comprobar y actualizar su versión de Android .

socios de Android son notificados de todas las cuestiones al menos un mes antes de su publicación. parches de código fuente de estos problemas han sido puestos en libertad al repositorio de Android Open Source Project (AOSP) y vinculado desde este boletín. Este boletín también incluye enlaces a los parches fuera del AOSP.

El más grave de estos temas es una vulnerabilidad de seguridad crítica en el componente del sistema que podría permitir a un atacante remoto a través de un archivo especialmente diseñado para ejecutar código arbitrario en el contexto de un proceso privilegiado. La evaluación de la gravedad se basa en el efecto de que la explotación de la vulnerabilidad podría tener posiblemente en un dispositivo afectado, asumiendo las mitigaciones de plataforma y servicios están apagados para fines de desarrollo o si anuladas con éxito.

Se refieren a la Android y Google Play mitigaciones Protect para obtener más detalles sobre las protecciones de seguridad de la plataforma Android y Google Play Protect, que mejoran la seguridad de la plataforma Android.

mitigaciones de servicio de Android y Google

Este es un resumen de las soluciones proporcionadas por las plataformas de seguridad de Android protecciones y servicios tales como Google Play Protect . Estas capacidades reducen la probabilidad de que las vulnerabilidades de seguridad podrían ser explotadas con éxito en Android.

  • Explotación para muchos problemas en Android se hace más difícil por las mejoras en las nuevas versiones de la plataforma Android. Animamos a todos los usuarios actualizar a la última versión de Android siempre que sea posible.
  • El equipo de seguridad de Android supervisa activamente para el abuso a través de Google Play Proteger y advierte a los usuarios sobre las aplicaciones potencialmente nocivos . Google Play Protect está activado por defecto en los dispositivos con Google servicios móviles , y es especialmente importante para los usuarios que instalen aplicaciones desde fuera de Google Play.

07/01/2020 detalles de la vulnerabilidad de seguridad de nivel de parche

En las siguientes secciones, proporcionamos los detalles para cada una de las vulnerabilidades de seguridad que se aplican a nivel 07/01/2020 parche. Las vulnerabilidades se agrupan en el componente al que afectan. Los problemas se describen en las tablas a continuación e incluyen CVE ID, referencias asociadas, tipo de vulnerabilidad , severidad , y las versiones AOSP actualizadas (en su caso). Cuando esté disponible, ligamos el cambio público que abordó la cuestión de la identificación de errores, al igual que la lista de cambios AOSP. Cuando varios cambios se refieren a un solo fallo, referencias adicionales están vinculados a los números siguientes el ID del error. Los dispositivos con Android 10 y más tarde pueden recibir las actualizaciones de seguridad, así como las actualizaciones del sistema de reproducción de Google .

Marco de referencia

La vulnerabilidad más grave en esta sección podría permitir a una aplicación maliciosa local para los requisitos de interacción con el usuario de derivación con el fin de obtener acceso a permisos adicionales.

CVE referencias Tipo Gravedad versiones actualizadas AOSP
CVE-2020-0122
A-147247775 EOP Alto 8,0, 8,1, 9, 10
CVE-2020-0227
A-129476618 [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] EOP Alto 8,0, 8,1, 9, 10

Media Framework

La vulnerabilidad más grave en esta sección podría permitir a un atacante remoto a través de un archivo especialmente diseñado para ejecutar código arbitrario en el contexto de un proceso privilegiado.

CVE referencias Tipo Gravedad versiones actualizadas AOSP
CVE-2020-9589
A-156261521 RCE Crítico 8,0, 8,1, 9, 10
CVE-2020-0226
A-150226994 EOP Alto 10

Sistema

La vulnerabilidad más grave en esta sección podría permitir a un atacante remoto a través de un archivo especialmente diseñado para ejecutar código arbitrario en el contexto de un proceso privilegiado.

CVE referencias Tipo Gravedad versiones actualizadas AOSP
CVE-2020-0224
A-147664838 [ 2 ] RCE Crítico 8,0, 8,1, 9, 10
CVE-2020-0225
A-142546668 RCE Crítico 10
CVE-2020-0107
A-146570216 [ 2 ] CARNÉ DE IDENTIDAD Alto 10

actualizaciones del sistema de reproducción de Google

No hay problemas de seguridad se abordan en las actualizaciones del sistema de reproducción de Google (Proyecto de la línea principal) de este mes.

07/05/2020 detalles de la vulnerabilidad de seguridad de nivel de parche

En las siguientes secciones, proporcionamos los detalles para cada una de las vulnerabilidades de seguridad que se aplican a nivel 07/05/2020 parche. Las vulnerabilidades se agrupan en el componente al que afectan. Los problemas se describen en las tablas a continuación e incluyen CVE ID, referencias asociadas, tipo de vulnerabilidad , severidad , y las versiones AOSP actualizadas (en su caso). Cuando esté disponible, ligamos el cambio público que abordó la cuestión de la identificación de errores, al igual que la lista de cambios AOSP. Cuando varios cambios se refieren a un solo fallo, referencias adicionales están vinculados a los números siguientes el ID del error.

componentes de Broadcom

La vulnerabilidad más grave en esta sección podría permitir a un atacante remoto a través de un mensaje especialmente diseñado para ejecutar código arbitrario en el contexto de un proceso privilegiado. Socios afectados por estas vulnerabilidades deben ponerse en contacto directamente Broadcom y solicitar este parche.

CVE referencias Tipo Gravedad Componente
CVE-2019-9501
A-130373736 * RCE Crítico Broadcom firmware
CVE-2019-9502
A-130374366 * RCE Crítico Broadcom firmware

componentes del núcleo

La vulnerabilidad más grave en esta sección podría permitir a un atacante local a las necesidades de interacción de usuario de derivación con el fin de obtener acceso a permisos adicionales.

CVE referencias Tipo Gravedad Componente
CVE-2018-20.669
A-135368228
kernel
EOP Alto controlador i915
CVE-2.019-18.282
A-148588557
kernel
EOP Alto Las redes en Linux Pila
CVE-2019 a 20.636
A-153715664
kernel
EOP Alto controlador de entrada

componentes MediaTek

La evaluación de la gravedad de estos problemas proceden directamente de MediaTek.

CVE referencias Tipo Gravedad Componente
CVE-2020-0230
A-156337262
ALPS05018169 *
EOP Alto VCU
CVE-2020-0231
A-156333727
ALPS05028343 *
EOP Alto Interfaz de memoria externa
CVE-2020-0228
A-156333723
ALPS04163861 *
CARNÉ DE IDENTIDAD Alto servicio relacionado grabador

componentes Qualcomm

Estas vulnerabilidades afectan a los componentes de Qualcomm y se describen con más detalle en la alerta boletín de seguridad Qualcomm o de seguridad apropiado. La evaluación de la gravedad de estos problemas es proporcionada directamente por Qualcomm.

CVE referencias Tipo Gravedad Componente
CVE-2020-3698
A-153345312
QC-CR # 2569764 [ 2 ] [ 3 ]
N / A Crítico WLAN
CVE-2020-3699
A-153344687
QC-CR # 2583124
QC-CR # 2616229
N / A Crítico WLAN
CVE-2019 a 10.580
A-147103019
QC-CR # 2507671
N / A Alto Núcleo
CVE-2020-3700
A-153345156
QC-CR # 2389239
N / A Alto WLAN

componentes de código cerrado Qualcomm

Estas vulnerabilidades afectan a Qualcomm componentes de código cerrado y se describen con más detalle en la alerta boletín de seguridad Qualcomm o de seguridad apropiado. La evaluación de la gravedad de estos problemas es proporcionada directamente por Qualcomm.

CVE referencias Tipo Gravedad Componente
CVE-desde 2019 hasta 14123
A-147104256 * N / A Alto componente de código cerrado
CVE-2.019-14.124
A-147104233 * N / A Alto componente de código cerrado
CVE-2.019-14.130
A-147103639 * N / A Alto componente de código cerrado
CVE-2020-3688
A-153345450 * N / A Alto componente de código cerrado
CVE-2020-3701
A-153345219 * N / A Alto componente de código cerrado

preguntas y respuestas comunes

Esta sección responde a las preguntas más comunes que pueden ocurrir después de leer este boletín.

1. ¿Cómo puedo determinar si el dispositivo se actualiza para abordar estas cuestiones?

Para aprender a controlar el nivel del parche de seguridad de un dispositivo, consulte Comprobar y actualizar su versión de Android .

  • Niveles de parches de seguridad de 07/01/2020 o posterior abordan todas las cuestiones relacionadas con el nivel de parches de seguridad 01/07/2020.
  • Niveles de parches de seguridad de 07/05/2020 o posterior abordan todas las cuestiones relacionadas con el nivel de parches de seguridad 07/05/2020 y todos los niveles de parches anteriores.

Los fabricantes de dispositivos que incluyen estas actualizaciones deben establecer el nivel de cadena de parche para:

  • [Ro.build.version.security_patch]: [01/07/2020]
  • [Ro.build.version.security_patch]: [05/07/2020]

Para algunos dispositivos en Android 10 o posterior, la actualización del sistema de Google Play tendrá una cadena de fecha que coincide con el nivel de parche de seguridad 07/01/2020. Por favor, vea este artículo para más detalles sobre cómo instalar las actualizaciones de seguridad.

2. ¿Por qué este boletín tiene dos niveles de parches de seguridad?

Este boletín tiene dos niveles de parches de seguridad para que los socios de Android tienen la flexibilidad para fijar un subconjunto de vulnerabilidades que son similares en todos los dispositivos Android más rápidamente. Se alienta a los socios de Android para arreglar todos los problemas en este boletín y utilizar el último nivel de parches de seguridad.

  • Los dispositivos que utilizan el nivel de parches de seguridad 07/01/2020 deben incluir todos los temas asociados con ese nivel de parches de seguridad, así como soluciones para todos los problemas reportados en los boletines de seguridad anteriores.
  • Los dispositivos que utilizan el nivel de parches de seguridad del 05/07/2020 o posterior deben incluir todos los parches aplicables en este (y anteriores) boletines de seguridad.

Se anima a los socios de agrupar las correcciones para todas las cuestiones que se dirigen en una sola actualización.

3. ¿Qué hacer las entradas en la columna Tipo de la media?

Las entradas en la columna Tipo de la vulnerabilidad detalles Referencia mesa de la clasificación de la vulnerabilidad de seguridad.

Abreviatura Definición
RCE ejecución remota de código
EOP La elevación de privilegios
CARNÉ DE IDENTIDAD la divulgación de información
DoS Negación de servicio
N / A Clasificación no disponible

4. ¿Qué hacer las entradas en la columna de media Referencias?

Entradas en la columna de las referencias de la tabla de detalles de la vulnerabilidad pueden contener un prefijo que identifica la organización a la que pertenece el valor de referencia.

Prefijo Referencia
UNA- Android bug ID
QC- número de referencia Qualcomm
METRO- número de referencia MediaTek
NORTE- Número de referencia de NVIDIA
SI- número de referencia Broadcom

5. ¿Qué hace un * junto al ID de error de Android en la media columna Referencias?

Temas que no están a disposición del público tienen un * junto al ID de referencia correspondiente. La actualización para esa cuestión está contenida generalmente en los últimos controladores para los dispositivos binarios de píxeles disponibles en el sitio para desarrolladores de Google .

6. ¿Por qué son las vulnerabilidades de seguridad dividido entre este boletín y el dispositivo / boletines de seguridad asociados, tales como el boletín de píxeles?

Se requieren las vulnerabilidades de seguridad que se documentan en este boletín de seguridad para declarar el nivel más reciente revisión de seguridad en los dispositivos Android. vulnerabilidades de seguridad adicionales que se documentan en los boletines de seguridad de dispositivos / socios no son necesarios para la declaración de un nivel de parches de seguridad. Dispositivos y chipset fabricantes de Android también pueden publicar detalles de la vulnerabilidad de seguridad específico para sus productos, tales como Google , Huawei , LGE , Motorola , Nokia o Samsung .

versiones

Versión Fecha notas
1.0 06 de julio 2020 publicación del boletín
1.1 8 de julio de, 2020 Boletín revisado para incluir enlaces AOSP