Опубликовано 1 марта 2021 г. | Обновлено 3 марта 2021 г.
Бюллетень по безопасности Android содержит подробную информацию об уязвимостях безопасности, влияющих на устройства Android. Все эти проблемы устранены в исправлении для системы безопасности от 5 марта 2021 года или более новом. Чтобы узнать, как проверить уровень исправления безопасности устройства, см. Раздел Проверка и обновление версии Android .
Партнеры Android уведомляются обо всех проблемах как минимум за месяц до публикации. Исправления исходного кода для этих проблем были выпущены в репозиторий Android Open Source Project (AOSP) и связаны с этим бюллетенем. Этот бюллетень также включает ссылки на исправления вне AOSP.
Наиболее серьезной из этих проблем является критическая уязвимость системы безопасности в компоненте системы, которая может позволить удаленному злоумышленнику с помощью специально созданной передачи выполнить произвольный код в контексте привилегированного процесса. Оценка серьезности основана на эффекте, который эксплуатация уязвимости может оказать на затронутое устройство, при условии, что средства защиты платформы и сервиса отключены для целей разработки или в случае успешного обхода.
См. Раздел « Защита Android и Google Play Protect » для получения подробной информации о средствах защиты платформы безопасности Android и Google Play Protect, которые повышают безопасность платформы Android.
Снижение рисков для служб Android и Google
Это сводка средств защиты, предоставляемых платформой безопасности Android и средствами защиты служб, такими как Google Play Protect . Эти возможности снижают вероятность того, что уязвимости системы безопасности могут быть успешно использованы на Android.
- Использование многих проблем на Android осложняется улучшениями в новых версиях платформы Android. Мы рекомендуем всем пользователям по возможности обновиться до последней версии Android.
- Команда безопасности Android активно отслеживает злоупотребления с помощью Google Play Protect и предупреждает пользователей о потенциально опасных приложениях . Google Play Protect включен по умолчанию на устройствах с Google Mobile Services и особенно важен для пользователей, которые устанавливают приложения не из Google Play.
2021-03-01 Сведения об уязвимости уровня исправления безопасности
В разделах ниже мы приводим подробную информацию о каждой из уязвимостей безопасности, относящихся к уровню исправления 2021-03-01. Уязвимости сгруппированы по компонентам, на которые они влияют. Проблемы описаны в таблицах ниже и включают идентификатор CVE, связанные ссылки, тип уязвимости , серьезность и обновленные версии AOSP (если применимо). Когда доступно, мы связываем общедоступное изменение, устраняющее проблему, с идентификатором ошибки, например, со списком изменений AOSP. Когда несколько изменений относятся к одной ошибке, дополнительные ссылки связаны с номерами, следующими за идентификатором ошибки. Устройства с Android 10 и более поздними версиями могут получать обновления безопасности, а также обновления системы Google Play .
Среда выполнения Android
Уязвимость в этом разделе может позволить локальному злоумышленнику выполнить произвольный код в контексте привилегированного процесса.
| CVE | Рекомендации | Тип | Строгость | Обновленные версии AOSP |
|---|---|---|---|---|
| CVE-2021-0395 | A-170315126 | EoP | Высоко | 11 |
Рамки
Самая серьезная уязвимость в этом разделе может позволить локальному злоумышленнику с привилегированным доступом получить доступ к конфиденциальным данным.
| CVE | Рекомендации | Тип | Строгость | Обновленные версии AOSP |
|---|---|---|---|---|
| CVE-2021-0391 | A-172841550 | EoP | Высоко | 8.1, 9, 10, 11 |
| CVE-2021-0398 | A-173516292 | EoP | Высоко | 11 |
Система
Самая серьезная уязвимость в этом разделе может позволить удаленному злоумышленнику, использующему специально созданную передачу, выполнить произвольный код в контексте привилегированного процесса.
| CVE | Рекомендации | Тип | Строгость | Обновленные версии AOSP |
|---|---|---|---|---|
| CVE-2021-0397 | A-174052148 | RCE | Критический | 8.1, 9, 10, 11 |
| CVE-2017-14491 | A-158221622 | RCE | Высоко | 8.1, 9, 10, 11 |
| CVE-2021-0393 | A-168041375 | RCE | Высоко | 8.1, 9, 10, 11 |
| CVE-2021-0396 | A-160610106 | RCE | Высоко | 8.1, 9, 10, 11 |
| CVE-2021-0390 | A-174749461 | EoP | Высоко | 8.1, 9, 10, 11 |
| CVE-2021-0392 | A-175124730 | EoP | Высоко | 9, 10, 11 |
| CVE-2021-0394 | A-172655291 [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ] [ 12 ]] " | Я БЫ | Высоко | 8.1, 9, 10, 11 |
Обновления системы Google Play
Следующие проблемы включены в компоненты Project Mainline.
| Компонент | CVE |
|---|---|
| Вай фай | CVE-2021-0390 |
2021-03-05 Сведения об уязвимости уровня исправления безопасности
В разделах ниже мы приводим подробную информацию о каждой из уязвимостей системы безопасности, относящихся к уровню исправления 2021-03-05. Уязвимости сгруппированы по компонентам, на которые они влияют. Проблемы описаны в таблицах ниже и включают идентификатор CVE, связанные ссылки, тип уязвимости , серьезность и обновленные версии AOSP (если применимо). Когда доступно, мы связываем общедоступное изменение, устраняющее проблему, с идентификатором ошибки, например со списком изменений AOSP. Когда несколько изменений относятся к одной ошибке, дополнительные ссылки связаны с номерами, следующими за идентификатором ошибки.
Компоненты ядра
Уязвимость в этом разделе может позволить локальному злоумышленнику с помощью специально созданного файла выполнить произвольный код в контексте привилегированного процесса.
| CVE | Рекомендации | Тип | Строгость | Компонент |
|---|---|---|---|---|
| CVE-2021-0399 | A-176919394 Ядро апстрима [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] | EoP | Высоко | xt_qtaguid |
Компоненты Qualcomm
Эти уязвимости затрагивают компоненты Qualcomm и более подробно описаны в соответствующем бюллетене безопасности Qualcomm или предупреждении безопасности. Оценка серьезности этих проблем предоставляется непосредственно Qualcomm.
| CVE | Рекомендации | Строгость | Компонент | |
|---|---|---|---|---|
| CVE-2020-11223 | A-172349026 QC-CR # 2721399 * | Высоко | Камера | |
| CVE-2020-11290 | A-168917883 QC-CR # 2761634 | Высоко | Отображать | |
| CVE-2020-11308 | A-175038288 QC-CR # 2783331 | Высоко | Загрузчик | |
| CVE-2020-11309 | A-175038160 QC-CR # 2783659 | Высоко | Отображать |
Компоненты Qualcomm с закрытым исходным кодом
Эти уязвимости затрагивают компоненты Qualcomm с закрытым исходным кодом и более подробно описаны в соответствующем бюллетене безопасности Qualcomm или предупреждении безопасности. Оценка серьезности этих проблем предоставляется непосредственно Qualcomm.
| CVE | Рекомендации | Строгость | Компонент | |
|---|---|---|---|---|
| CVE-2020-11192 | A-168050025 * | Критический | Компонент с закрытым исходным кодом | |
| CVE-2020-11204 | A-162750025 * | Критический | Компонент с закрытым исходным кодом | |
| CVE-2020-11218 | A-168049956 * | Критический | Компонент с закрытым исходным кодом | |
| CVE-2020-11227 | A-168050276 * | Критический | Компонент с закрытым исходным кодом | |
| CVE-2020-11228 | A-168050345 * | Критический | Компонент с закрытым исходным кодом | |
| CVE-2020-11165 | A-160605782 * | Высоко | Компонент с закрытым исходным кодом | |
| CVE-2020-11166 | A-168051733 * | Высоко | Компонент с закрытым исходным кодом | |
| CVE-2020-11171 | A-168050346 * | Высоко | Компонент с закрытым исходным кодом | |
| CVE-2020-11178 | A-160605529 * | Высоко | Компонент с закрытым исходным кодом | |
| CVE-2020-11186 | A-168049957 * | Высоко | Компонент с закрытым исходным кодом | |
| CVE-2020-11188 | A-168050859 * | Высоко | Компонент с закрытым исходным кодом | |
| CVE-2020-11189 | A-168051051 * | Высоко | Компонент с закрытым исходным кодом | |
| CVE-2020-11190 | A-168051033 * | Высоко | Компонент с закрытым исходным кодом | |
| CVE-2020-11194 | A-162756908 * | Высоко | Компонент с закрытым исходным кодом | |
| CVE-2020-11195 | A-162756604 * | Высоко | Компонент с закрытым исходным кодом | |
| CVE-2020-11198 | A-162756735 * | Высоко | Компонент с закрытым исходным кодом | |
| CVE-2020-11199 | A-168050860 * | Высоко | Компонент с закрытым исходным кодом | |
| CVE-2020-11220 | A-168050239 * | Высоко | Компонент с закрытым исходным кодом | |
| CVE-2020-11221 | A-168051035 * | Высоко | Компонент с закрытым исходным кодом | |
| CVE-2020-11222 | A-168050578 * | Высоко | Компонент с закрытым исходным кодом | |
| CVE-2020-11226 | A-168050240 * | Высоко | Компонент с закрытым исходным кодом | |
| CVE-2020-11299 | A-175038625 * | Высоко | Компонент с закрытым исходным кодом |
Общие вопросы и ответы
В этом разделе даны ответы на общие вопросы, которые могут возникнуть после прочтения этого бюллетеня.
1. Как определить, обновлено ли мое устройство для решения этих проблем?
Чтобы узнать, как проверить уровень исправления безопасности устройства, см. Раздел Проверка и обновление версии Android .
- Уровни исправления безопасности от 1 марта 2021 года или более поздние устраняют все проблемы, связанные с уровнем исправления безопасности 2021-03-01.
- В исправлении безопасности от 5 марта 2021 года или более новом устранены все проблемы, связанные с уровнем исправления безопасности 2021-03-05 и всеми предыдущими уровнями исправлений.
Производители устройств, которые включают эти обновления, должны установить уровень строки исправления на:
- [ro.build.version.security_patch]: [2021-03-01]
- [ro.build.version.security_patch]: [2021-03-05]
Для некоторых устройств на Android 10 или новее в обновлении системы Google Play будет строка даты, соответствующая уровню исправления безопасности 2021-03-01. Пожалуйста, прочтите эту статью для получения дополнительных сведений об установке обновлений безопасности.
2. Почему в этом бюллетене есть два уровня исправлений безопасности?
В этом бюллетене есть два уровня исправлений безопасности, чтобы партнеры Android могли быстрее исправить подмножество уязвимостей, схожих на всех устройствах Android. Партнерам Android рекомендуется исправить все проблемы, описанные в этом бюллетене, и использовать исправления безопасности последнего уровня.
- Устройства, использующие уровень исправления безопасности 2021-03-01, должны включать все проблемы, связанные с этим уровнем исправления безопасности, а также исправления всех проблем, о которых сообщалось в предыдущих бюллетенях по безопасности.
- Устройства, которые используют уровень исправления безопасности от 5 марта 2021 года или новее, должны включать все применимые исправления в этом (и предыдущих) бюллетенях по безопасности.
Партнерам рекомендуется объединить исправления для всех проблем, которые они решают, в одном обновлении.
3. Что означают записи в столбце Тип ?
Записи в столбце Тип таблицы подробных сведений об уязвимости ссылаются на классификацию уязвимости системы безопасности.
| Сокращение | Определение |
|---|---|
| RCE | Удаленное выполнение кода |
| EoP | Повышение привилегий |
| Я БЫ | Раскрытие информации |
| DoS | Отказ в обслуживании |
| N / A | Классификация недоступна |
4. Что означают записи в столбце « Ссылки» ?
Записи в столбце « Ссылки» таблицы сведений об уязвимостях могут содержать префикс, определяющий организацию, которой принадлежит значение ссылки.
| Префикс | Ссылка |
|---|---|
| А- | Идентификатор ошибки Android |
| QC- | Ссылочный номер Qualcomm |
| М- | Ссылочный номер MediaTek |
| N- | Ссылочный номер NVIDIA |
| B- | Ссылочный номер Broadcom |
5. Что означает * рядом с идентификатором ошибки Android в столбце « Ссылки» ?
Проблемы, которые не являются общедоступными, помечены * рядом с соответствующим идентификатором ссылки. Обновление для этой проблемы обычно содержится в последних бинарных драйверах для устройств Pixel, доступных на сайте Google Developer .
6. Почему уязвимости безопасности разделены между этим бюллетенем и бюллетенями по безопасности устройств / партнеров, такими как бюллетень Pixel?
Уязвимости безопасности, задокументированные в этом бюллетене по безопасности, необходимы для объявления последнего уровня исправления безопасности на устройствах Android. Дополнительные уязвимости безопасности, которые задокументированы в бюллетенях по безопасности устройства / партнера, не требуются для объявления уровня исправления безопасности. Производители устройств Android и наборов микросхем также могут публиковать подробные сведения об уязвимостях безопасности своих продуктов, например Google , Huawei , LGE , Motorola , Nokia или Samsung .
Версии
| Версия | Дата | Примечания |
|---|---|---|
| 1.0 | 1 марта 2021 г. | Бюллетень выпущен |
| 1.1 | 3 марта 2021 г. | В бюллетень добавлены ссылки на AOSP. |