Google is committed to advancing racial equity for Black communities. See how.
Ta strona została przetłumaczona przez Cloud Translation API.
Switch to English

Biuletyn bezpieczeństwa Androida - grudzień 2020 r

Opublikowano 7 grudnia 2020 r. | Zaktualizowano 10 grudnia 2020 r

Biuletyn zabezpieczeń systemu Android zawiera szczegółowe informacje o lukach w zabezpieczeniach dotyczących urządzeń z systemem Android. Poziomy poprawek zabezpieczeń z dnia 2020-12-05 lub nowsze rozwiązują wszystkie te problemy. Aby dowiedzieć się, jak sprawdzić poziom poprawek zabezpieczeń urządzenia, zobacz Sprawdzanie i aktualizowanie wersji Androida .

Partnerzy Androida są powiadamiani o wszystkich problemach co najmniej miesiąc przed publikacją. Poprawki kodu źródłowego dotyczące tych problemów zostały udostępnione w repozytorium Android Open Source Project (AOSP) i połączone z tym biuletynem. Ten biuletyn zawiera również łącza do poprawek poza AOSP.

Najpoważniejszym z tych problemów jest krytyczna luka w zabezpieczeniach składnika Media Framework, która może umożliwić zdalnej osobie atakującej za pomocą specjalnie spreparowanego pliku wykonanie dowolnego kodu w kontekście uprzywilejowanego procesu. Ocena istotności opiera się na wpływie, jaki wykorzystanie luki prawdopodobnie miałoby na urządzenie, którego dotyczy luka, przy założeniu, że platforma i narzędzia ograniczające zagrożenie są wyłączone do celów programistycznych lub po pomyślnym obejściu.

Szczegółowe informacje na temat zabezpieczeń platformy Android i Google Play Protect, które zwiększają bezpieczeństwo platformy Android, można znaleźć w sekcji Środki zaradcze dotyczące ochrony systemu Android i Google Play.

Ograniczenia ryzyka związane z usługami Android i Google

To jest podsumowanie środków zaradczych zapewnianych przez platformę bezpieczeństwa Androida i zabezpieczenia usług, takie jak Google Play Protect . Te możliwości zmniejszają prawdopodobieństwo skutecznego wykorzystania luk w zabezpieczeniach w systemie Android.

  • Wykorzystanie wielu problemów w systemie Android jest utrudnione przez ulepszenia w nowszych wersjach platformy Android. Zachęcamy wszystkich użytkowników do aktualizacji do najnowszej wersji Androida, jeśli to możliwe.
  • Zespół ds. Bezpieczeństwa Androida aktywnie monitoruje nadużycia za pośrednictwem Google Play Protect i ostrzega użytkowników o potencjalnie szkodliwych aplikacjach . Ochrona Google Play jest domyślnie włączona na urządzeniach z usługami Google Mobile Services i jest szczególnie ważna dla użytkowników, którzy instalują aplikacje spoza Google Play.

2020-12-01 Szczegóły luki w zabezpieczeniach poziomu poprawek zabezpieczeń

W poniższych sekcjach przedstawiamy szczegółowe informacje na temat każdej z luk w zabezpieczeniach, które mają zastosowanie do poziomu poprawek 2020-12-01. Luki są pogrupowane pod komponentem, na który wpływają. Problemy zostały opisane w poniższych tabelach i obejmują identyfikator CVE, powiązane odniesienia, rodzaj luki w zabezpieczeniach , wagę i zaktualizowane wersje AOSP (w stosownych przypadkach). Gdy jest dostępna, łączymy publiczną zmianę, która dotyczyła problemu, z identyfikatorem błędu, takim jak lista zmian AOSP. Gdy wiele zmian dotyczy jednego błędu, dodatkowe odniesienia są połączone z numerami po identyfikatorze błędu. Urządzenia z systemem Android 10 lub nowszym mogą otrzymywać aktualizacje zabezpieczeń, a także aktualizacje systemu Google Play .

Struktura

Najpoważniejsza luka w tej sekcji może umożliwić lokalnej złośliwej aplikacji ominięcie wymagań dotyczących interakcji użytkownika w celu uzyskania dostępu do dodatkowych uprawnień.

CVE Bibliografia Rodzaj Surowość Zaktualizowane wersje AOSP
CVE-2020-0099
A-141745510 EoP Wysoki 8,0, 8,1, 9, 10
CVE-2020-0294
A-154915372 EoP Wysoki 8,0, 8,1, 9, 10
CVE-2020-0440
A-162627132 [ 2 ] EoP Wysoki 11
CVE-2020-0459
A-159373687 [ 2 ] [ 3 ] [ 4 ] [ 5 ] ID Wysoki 8,0, 8,1, 9, 10
CVE-2020-0464
A-150371903 [ 2 ] ID Wysoki 10
CVE-2020-0467
A-168500792 ID Wysoki 8,1, 9, 10, 11
CVE-2020-0468
A-158484422 ID Wysoki 10, 11
CVE-2020-0469
A-168692734 DoS Wysoki 11

Media Framework

Najpoważniejsza luka w tej sekcji może umożliwić osobie atakującej zdalnie za pomocą specjalnie spreparowanego pliku wykonanie dowolnego kodu w kontekście procesu uprzywilejowanego.

CVE Bibliografia Rodzaj Surowość Zaktualizowane wersje AOSP
CVE-2020-0458
A-160265164 [ 2 ] RCE Krytyczny 8,0, 8,1, 9, 10
CVE-2020-0470
A-166268541 ID Wysoki 10, 11

System

Najpoważniejsza luka w tej sekcji może prowadzić do zdalnego ujawnienia informacji bez konieczności posiadania dodatkowych uprawnień do wykonywania.

CVE Bibliografia Rodzaj Surowość Zaktualizowane wersje AOSP
CVE-2020-0460
A-163413737 ID Wysoki 11
CVE-2020-0463
A-169342531 ID Wysoki 8,0, 8,1, 9, 10, 11
CVE-2020-15802
A-158854097 ID Wysoki 8,0, 8,1, 9, 10, 11

Aktualizacje systemu Google Play

W aktualizacjach systemu Google Play (główna linia projektu) nie rozwiązano żadnych problemów dotyczących bezpieczeństwa w tym miesiącu.

2020-12-05 Szczegóły podatności na poziomie poprawek zabezpieczeń

W poniższych sekcjach przedstawiamy szczegółowe informacje na temat każdej z luk w zabezpieczeniach, które dotyczą poziomu poprawek 2020-12-05. Luki są pogrupowane pod komponentem, na który wpływają. Problemy zostały opisane w poniższych tabelach i obejmują identyfikator CVE, powiązane odniesienia, rodzaj luki w zabezpieczeniach , wagę i zaktualizowane wersje AOSP (w stosownych przypadkach). Gdy jest dostępna, łączymy publiczną zmianę, która dotyczyła problemu, z identyfikatorem błędu, takim jak lista zmian AOSP. Gdy wiele zmian dotyczy jednego błędu, dodatkowe odniesienia są połączone z numerami po identyfikatorze błędu.

Składniki jądra

Najpoważniejsza luka w tej sekcji może umożliwić lokalnej złośliwej aplikacji wykonanie dowolnego kodu w kontekście procesu uprzywilejowanego.

CVE Bibliografia Rodzaj Surowość Składnik
CVE-2020-0444
A-150693166
Jądro upstream
EoP Wysoki System audytu jądra
CVE-2020-0465
A-162844689
Jądro upstream [ 2 ]
EoP Wysoki Jądro
CVE-2020-0466
A-147802478
Jądro upstream [ 2 ]
EoP Wysoki Podsystem we / wy

Komponenty Broadcom

Luki te dotyczą komponentów Broadcom, a dalsze szczegóły są dostępne bezpośrednio od Broadcom. Ocenę wagi tych problemów dostarcza bezpośrednio firma Broadcom.

CVE Bibliografia Surowość Składnik
CVE-2020-0016
A-171413483 * Wysoki Oprogramowanie pośredniczące Broadcom
CVE-2020-0019
A-171413798 * Wysoki Oprogramowanie pośredniczące Broadcom

Komponenty MediaTek

Te luki dotyczą składników MediaTek, a dalsze szczegóły są dostępne bezpośrednio od MediaTek. Ocena wagi tych problemów jest dostarczana bezpośrednio przez MediaTek.

CVE Bibliografia Surowość Składnik
CVE-2020-0455
A-170372514
M-ALPS05324771 *
Wysoki vcu
CVE-2020-0456
A-170378843
M-ALPS05304125 *
Wysoki vcu
CVE-2020-0457
A-170367562
M-ALPS05304170 *
Wysoki vcu

Komponenty Qualcomm

Luki te mają wpływ na komponenty Qualcomm i są opisane bardziej szczegółowo w odpowiednim biuletynie bezpieczeństwa Qualcomm lub alercie bezpieczeństwa. Ocena wagi tych problemów jest dostarczana bezpośrednio przez firmę Qualcomm.

CVE Bibliografia Surowość Składnik
CVE-2020-11225
A-168050601
QC-CR # 2724407
Krytyczny WLAN
CVE-2020-11146
A-157906412
QC-CR # 2648596
Wysoki Jądro
CVE-2020-11167
A-168049959
QC-CR # 2434229 [ 2 ]
Wysoki Bluetooth
CVE-2020-11185
A-168050580
QC-CR # 2658462
Wysoki WLAN
CVE-2020-11217
A-168051734
QC-CR # 2710036
Wysoki Audio

Komponenty Qualcomm o zamkniętym źródle

Luki te dotyczą komponentów zamkniętego źródła Qualcomm i są opisane bardziej szczegółowo w odpowiednim biuletynie zabezpieczeń Qualcomm lub alercie zabezpieczeń. Ocena wagi tych problemów jest dostarczana bezpośrednio przez firmę Qualcomm.

CVE Bibliografia Surowość Składnik
CVE-2020-3685
A-157905813 * Krytyczny Komponent o zamkniętym źródle
CVE-2020-3686
A-157906329 * Krytyczny Komponent o zamkniętym źródle
CVE-2020-3691
A-157906171 * Krytyczny Komponent o zamkniętym źródle
CVE-2020-11136
A-157905860 * Krytyczny Komponent o zamkniętym źródle
CVE-2020-11137
A-157905869 * Krytyczny Komponent o zamkniętym źródle
CVE-2020-11138
A-157905657 * Krytyczny Komponent o zamkniętym źródle
CVE-2020-11140
A-157906530 * Krytyczny Komponent o zamkniętym źródle
CVE-2020-11143
A-157905814 * Krytyczny Komponent o zamkniętym źródle
CVE-2020-11119
A-168051735 * Wysoki Komponent o zamkniętym źródle
CVE-2020-11139
A-157905659 * Wysoki Komponent o zamkniętym źródle
CVE-2020-11144
A-157906670 * Wysoki Komponent o zamkniętym źródle
CVE-2020-11145
A-157905870 * Wysoki Komponent o zamkniętym źródle
CVE-2020-11179
A-163548240 * Wysoki Komponent o zamkniętym źródle
CVE-2020-11197
A-168050278 * Wysoki Komponent o zamkniętym źródle
CVE-2020-11200
A-168049958 * Wysoki Komponent o zamkniętym źródle
CVE-2020-11212
A-168050603 * Wysoki Komponent o zamkniętym źródle
CVE-2020-11213
A-168050861 * Wysoki Komponent o zamkniętym źródle
CVE-2020-11214
A-168049138 * Wysoki Komponent o zamkniętym źródle
CVE-2020-11215
A-168049960 * Wysoki Komponent o zamkniętym źródle
CVE-2020-11216
A-168050579 * Wysoki Komponent o zamkniętym źródle

Częste pytania i odpowiedzi

Ta sekcja zawiera odpowiedzi na typowe pytania, które mogą się pojawić po przeczytaniu tego biuletynu.

1. Jak sprawdzić, czy moje urządzenie zostało zaktualizowane w celu rozwiązania tych problemów?

Aby dowiedzieć się, jak sprawdzić poziom poprawek zabezpieczeń urządzenia, zobacz Sprawdzanie i aktualizowanie wersji Androida .

  • Poziomy poprawek zabezpieczeń 2020-12-01 lub nowsze rozwiązują wszystkie problemy związane z poziomem poprawek zabezpieczeń 2020-12-01.
  • Poziomy poprawek zabezpieczeń z dnia 2020-12-05 lub nowsze obejmują wszystkie problemy związane z poziomem poprawek zabezpieczeń 2020-12-05 i wszystkimi wcześniejszymi poziomami poprawek.

Producenci urządzeń, którzy uwzględniają te aktualizacje, powinni ustawić poziom ciągu poprawek na:

  • [ro.build.version.security_patch]: [2020-12-01]
  • [ro.build.version.security_patch]: [2020-12-05]

W przypadku niektórych urządzeń z systemem Android 10 lub nowszym aktualizacja systemu Google Play będzie zawierać ciąg daty zgodny z poziomem poprawek zabezpieczeń 2020-12-01. Zapoznaj się z tym artykułem, aby uzyskać więcej informacji na temat instalowania aktualizacji zabezpieczeń.

2. Dlaczego ten biuletyn ma dwa poziomy poprawek zabezpieczeń?

Ten biuletyn ma dwa poziomy poprawek zabezpieczeń, dzięki czemu partnerzy z systemem Android mogą szybciej usuwać podzbiór podobnych luk we wszystkich urządzeniach z systemem Android. Zachęcamy partnerów Androida do rozwiązywania wszystkich problemów w tym biuletynie i korzystania z najnowszego poziomu poprawek zabezpieczeń.

  • Urządzenia korzystające z poziomu poprawek zabezpieczeń 2020-12-01 muszą zawierać wszystkie problemy związane z tym poziomem poprawek zabezpieczeń, a także poprawki wszystkich problemów zgłoszonych w poprzednich biuletynach zabezpieczeń.
  • Urządzenia korzystające z poziomu poprawek zabezpieczeń 2020-12-05 lub nowszych muszą zawierać wszystkie odpowiednie poprawki w tym (i wcześniejszych) biuletynach zabezpieczeń.

Zachęcamy partnerów do dołączania poprawek do wszystkich problemów, których dotyczą, w jednej aktualizacji.

3. Co oznaczają wpisy w kolumnie Typ ?

Wpisy w kolumnie Typ tabeli szczegółów luki odnoszą się do klasyfikacji luki w zabezpieczeniach.

Skrót Definicja
RCE Zdalne wykonanie kodu
EoP Podniesienie przywileju
ID Ujawnienie informacji
DoS Odmowa usługi
Nie dotyczy Klasyfikacja niedostępna

4. Co oznaczają wpisy w kolumnie References ?

Wpisy w kolumnie References tabeli szczegółów luki mogą zawierać przedrostek identyfikujący organizację, do której należy wartość odniesienia.

Prefiks Odniesienie
ZA- Identyfikator błędu Androida
QC- Numer referencyjny Qualcomm
M- Numer referencyjny MediaTek
N- Numer referencyjny NVIDIA
B- Numer referencyjny Broadcom

5. Co oznacza * obok identyfikatora błędu Androida w kolumnie References ?

W przypadku problemów, które nie są publicznie dostępne, obok odpowiedniego identyfikatora odniesienia znajduje się *. Aktualizacja dotycząca tego problemu jest zwykle zawarta w najnowszych sterownikach binarnych dla urządzeń Pixel dostępnych w witrynie Google Developer .

6. Dlaczego luki w zabezpieczeniach są podzielone między ten biuletyn i biuletyny bezpieczeństwa urządzeń / partnerów, takie jak biuletyn Pixel?

Luki w zabezpieczeniach udokumentowane w niniejszym biuletynie zabezpieczeń są wymagane do zadeklarowania najnowszego poziomu poprawek zabezpieczeń na urządzeniach z systemem Android. Dodatkowe luki w zabezpieczeniach udokumentowane w biuletynach zabezpieczeń urządzenia / partnerów nie są wymagane do deklarowania poziomu poprawek zabezpieczeń. Producenci urządzeń z Androidem i chipsetów mogą również publikować szczegółowe informacje o lukach w zabezpieczeniach ich produktów, takich jak Google , Huawei , LGE , Motorola , Nokia czy Samsung .

Wersje

Wersja Data Uwagi
1.0 7 grudnia 2020 r Opublikowano biuletyn
1.1 10 grudnia 2020 r Biuletyn poprawiony w celu uwzględnienia łączy AOSP