Google is committed to advancing racial equity for Black communities. See how.
Эта страница переведена с помощью Cloud Translation API.
Switch to English

Бюллетень по безопасности Android - март 2021 г.

Опубликовано 1 марта 2021 г. | Обновлено 3 марта 2021 г.

Бюллетень по безопасности Android содержит подробную информацию об уязвимостях безопасности, влияющих на устройства Android. Все эти проблемы устранены в исправлении для системы безопасности от 5 марта 2021 года или более новом. Чтобы узнать, как проверить уровень исправления безопасности устройства, см. Раздел Проверка и обновление версии Android .

Партнеры Android уведомляются обо всех проблемах как минимум за месяц до публикации. Исправления исходного кода для этих проблем были выпущены в репозиторий Android Open Source Project (AOSP) и связаны с этим бюллетенем. Этот бюллетень также включает ссылки на исправления вне AOSP.

Наиболее серьезной из этих проблем является критическая уязвимость системы безопасности в компоненте системы, которая может позволить удаленному злоумышленнику с помощью специально созданной передачи выполнить произвольный код в контексте привилегированного процесса. Оценка серьезности основана на эффекте, который эксплуатация уязвимости может оказать на затронутое устройство, при условии, что средства защиты платформы и сервиса отключены для целей разработки или в случае успешного обхода.

См. Раздел « Защита Android и Google Play Protect » для получения подробной информации о средствах защиты платформы безопасности Android и Google Play Protect, которые повышают безопасность платформы Android.

Снижение рисков для служб Android и Google

Это сводка средств защиты, предоставляемых платформой безопасности Android и средствами защиты служб, такими как Google Play Protect . Эти возможности снижают вероятность того, что уязвимости системы безопасности могут быть успешно использованы на Android.

  • Использование многих проблем на Android осложняется улучшениями в новых версиях платформы Android. Мы рекомендуем всем пользователям по возможности обновиться до последней версии Android.
  • Команда безопасности Android активно отслеживает злоупотребления с помощью Google Play Protect и предупреждает пользователей о потенциально опасных приложениях . Google Play Protect включен по умолчанию на устройствах с Google Mobile Services и особенно важен для пользователей, которые устанавливают приложения не из Google Play.

2021-03-01 Сведения об уязвимости уровня исправления безопасности

В разделах ниже мы приводим подробную информацию о каждой из уязвимостей безопасности, относящихся к уровню исправления 2021-03-01. Уязвимости сгруппированы по компонентам, на которые они влияют. Проблемы описаны в таблицах ниже и включают идентификатор CVE, связанные ссылки, тип уязвимости , серьезность и обновленные версии AOSP (если применимо). Когда доступно, мы связываем общедоступное изменение, устраняющее проблему, с идентификатором ошибки, например, со списком изменений AOSP. Когда несколько изменений относятся к одной ошибке, дополнительные ссылки связаны с номерами, следующими за идентификатором ошибки. Устройства с Android 10 и более поздними версиями могут получать обновления безопасности, а также обновления системы Google Play .

Среда выполнения Android

Уязвимость в этом разделе может позволить локальному злоумышленнику выполнить произвольный код в контексте привилегированного процесса.

CVE Рекомендации Тип Строгость Обновленные версии AOSP
CVE-2021-0395 A-170315126 EoP Высоко 11

Рамки

Самая серьезная уязвимость в этом разделе может позволить локальному злоумышленнику с привилегированным доступом получить доступ к конфиденциальным данным.

CVE Рекомендации Тип Строгость Обновленные версии AOSP
CVE-2021-0391 A-172841550 EoP Высоко 8.1, 9, 10, 11
CVE-2021-0398 A-173516292 EoP Высоко 11

Система

Самая серьезная уязвимость в этом разделе может позволить удаленному злоумышленнику, использующему специально созданную передачу, выполнить произвольный код в контексте привилегированного процесса.

CVE Рекомендации Тип Строгость Обновленные версии AOSP
CVE-2021-0397 A-174052148 RCE Критический 8.1, 9, 10, 11
CVE-2017-14491 A-158221622 RCE Высоко 8.1, 9, 10, 11
CVE-2021-0393 A-168041375 RCE Высоко 8.1, 9, 10, 11
CVE-2021-0396 A-160610106 RCE Высоко 8.1, 9, 10, 11
CVE-2021-0390 A-174749461 EoP Высоко 8.1, 9, 10, 11
CVE-2021-0392 A-175124730 EoP Высоко 9, 10, 11
CVE-2021-0394 A-172655291 [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ] [ 12 ]] " Я БЫ Высоко 8.1, 9, 10, 11

Обновления системы Google Play

Следующие проблемы включены в компоненты Project Mainline.

Компонент CVE
Вай фай CVE-2021-0390

2021-03-05 Сведения об уязвимости уровня исправления безопасности

В разделах ниже мы приводим подробную информацию о каждой из уязвимостей системы безопасности, относящихся к уровню исправления 2021-03-05. Уязвимости сгруппированы по компонентам, на которые они влияют. Проблемы описаны в таблицах ниже и включают идентификатор CVE, связанные ссылки, тип уязвимости , серьезность и обновленные версии AOSP (если применимо). Когда доступно, мы связываем общедоступное изменение, устраняющее проблему, с идентификатором ошибки, например со списком изменений AOSP. Когда несколько изменений относятся к одной ошибке, дополнительные ссылки связаны с номерами, следующими за идентификатором ошибки.

Компоненты ядра

Уязвимость в этом разделе может позволить локальному злоумышленнику с помощью специально созданного файла выполнить произвольный код в контексте привилегированного процесса.

CVE Рекомендации Тип Строгость Компонент
CVE-2021-0399 A-176919394
Ядро апстрима [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ]
EoP Высоко xt_qtaguid

Компоненты Qualcomm

Эти уязвимости затрагивают компоненты Qualcomm и более подробно описаны в соответствующем бюллетене безопасности Qualcomm или предупреждении безопасности. Оценка серьезности этих проблем предоставляется непосредственно Qualcomm.

CVE Рекомендации Строгость Компонент
CVE-2020-11223
A-172349026
QC-CR # 2721399 *
Высоко Камера
CVE-2020-11290 A-168917883
QC-CR # 2761634
Высоко Отображать
CVE-2020-11308 A-175038288
QC-CR # 2783331
Высоко Загрузчик
CVE-2020-11309 A-175038160
QC-CR # 2783659
Высоко Отображать

Компоненты Qualcomm с закрытым исходным кодом

Эти уязвимости затрагивают компоненты Qualcomm с закрытым исходным кодом и более подробно описаны в соответствующем бюллетене безопасности Qualcomm или предупреждении безопасности. Оценка серьезности этих проблем предоставляется непосредственно Qualcomm.

CVE Рекомендации Строгость Компонент
CVE-2020-11192
A-168050025 * Критический Компонент с закрытым исходным кодом
CVE-2020-11204 A-162750025 * Критический Компонент с закрытым исходным кодом
CVE-2020-11218 A-168049956 * Критический Компонент с закрытым исходным кодом
CVE-2020-11227 A-168050276 * Критический Компонент с закрытым исходным кодом
CVE-2020-11228 A-168050345 * Критический Компонент с закрытым исходным кодом
CVE-2020-11165 A-160605782 * Высоко Компонент с закрытым исходным кодом
CVE-2020-11166 A-168051733 * Высоко Компонент с закрытым исходным кодом
CVE-2020-11171 A-168050346 * Высоко Компонент с закрытым исходным кодом
CVE-2020-11178 A-160605529 * Высоко Компонент с закрытым исходным кодом
CVE-2020-11186 A-168049957 * Высоко Компонент с закрытым исходным кодом
CVE-2020-11188 A-168050859 * Высоко Компонент с закрытым исходным кодом
CVE-2020-11189 A-168051051 * Высоко Компонент с закрытым исходным кодом
CVE-2020-11190 A-168051033 * Высоко Компонент с закрытым исходным кодом
CVE-2020-11194 A-162756908 * Высоко Компонент с закрытым исходным кодом
CVE-2020-11195 A-162756604 * Высоко Компонент с закрытым исходным кодом
CVE-2020-11198 A-162756735 * Высоко Компонент с закрытым исходным кодом
CVE-2020-11199 A-168050860 * Высоко Компонент с закрытым исходным кодом
CVE-2020-11220 A-168050239 * Высоко Компонент с закрытым исходным кодом
CVE-2020-11221 A-168051035 * Высоко Компонент с закрытым исходным кодом
CVE-2020-11222 A-168050578 * Высоко Компонент с закрытым исходным кодом
CVE-2020-11226 A-168050240 * Высоко Компонент с закрытым исходным кодом
CVE-2020-11299 A-175038625 * Высоко Компонент с закрытым исходным кодом

Общие вопросы и ответы

В этом разделе даны ответы на общие вопросы, которые могут возникнуть после прочтения этого бюллетеня.

1. Как определить, обновлено ли мое устройство для решения этих проблем?

Чтобы узнать, как проверить уровень исправления безопасности устройства, см. Раздел Проверка и обновление версии Android .

  • Уровни исправления безопасности от 1 марта 2021 года или более поздние устраняют все проблемы, связанные с уровнем исправления безопасности 2021-03-01.
  • В исправлении безопасности от 5 марта 2021 года или более новом устранены все проблемы, связанные с уровнем исправления безопасности 2021-03-05 и всеми предыдущими уровнями исправлений.

Производители устройств, которые включают эти обновления, должны установить уровень строки исправления на:

  • [ro.build.version.security_patch]: [2021-03-01]
  • [ro.build.version.security_patch]: [2021-03-05]

Для некоторых устройств на Android 10 или новее в обновлении системы Google Play будет строка даты, соответствующая уровню исправления безопасности 2021-03-01. Пожалуйста, прочтите эту статью для получения дополнительных сведений об установке обновлений безопасности.

2. Почему в этом бюллетене есть два уровня исправлений безопасности?

В этом бюллетене есть два уровня исправлений безопасности, чтобы партнеры Android могли быстрее исправить подмножество уязвимостей, схожих на всех устройствах Android. Партнерам Android рекомендуется исправить все проблемы, описанные в этом бюллетене, и использовать исправления безопасности последнего уровня.

  • Устройства, использующие уровень исправления безопасности 2021-03-01, должны включать все проблемы, связанные с этим уровнем исправления безопасности, а также исправления всех проблем, о которых сообщалось в предыдущих бюллетенях по безопасности.
  • Устройства, которые используют уровень исправления безопасности от 5 марта 2021 года или новее, должны включать все применимые исправления в этом (и предыдущих) бюллетенях по безопасности.

Партнерам рекомендуется объединить исправления для всех проблем, которые они решают, в одном обновлении.

3. Что означают записи в столбце Тип ?

Записи в столбце Тип таблицы подробных сведений об уязвимости ссылаются на классификацию уязвимости системы безопасности.

Сокращение Определение
RCE Удаленное выполнение кода
EoP Повышение привилегий
Я БЫ Раскрытие информации
DoS Отказ в обслуживании
N / A Классификация недоступна

4. Что означают записи в столбце « Ссылки» ?

Записи в столбце « Ссылки» таблицы сведений об уязвимостях могут содержать префикс, определяющий организацию, которой принадлежит значение ссылки.

Префикс Ссылка
А- Идентификатор ошибки Android
QC- Ссылочный номер Qualcomm
М- Ссылочный номер MediaTek
N- Ссылочный номер NVIDIA
B- Ссылочный номер Broadcom

5. Что означает * рядом с идентификатором ошибки Android в столбце « Ссылки» ?

Проблемы, которые не являются общедоступными, помечены * рядом с соответствующим идентификатором ссылки. Обновление для этой проблемы обычно содержится в последних бинарных драйверах для устройств Pixel, доступных на сайте Google Developer .

6. Почему уязвимости безопасности разделены между этим бюллетенем и бюллетенями по безопасности устройств / партнеров, такими как бюллетень Pixel?

Уязвимости безопасности, задокументированные в этом бюллетене по безопасности, необходимы для объявления последнего уровня исправления безопасности на устройствах Android. Дополнительные уязвимости безопасности, которые задокументированы в бюллетенях по безопасности устройства / партнера, не требуются для объявления уровня исправления безопасности. Производители устройств Android и наборов микросхем также могут публиковать подробные сведения об уязвимостях безопасности своих продуктов, например Google , Huawei , LGE , Motorola , Nokia или Samsung .

Версии

Версия Дата Примечания
1.0 1 марта 2021 г. Бюллетень выпущен
1.1 3 марта 2021 г. В бюллетень добавлены ссылки на AOSP.