Google 致力于为黑人社区推动种族平等。查看具体举措
此页面由 Cloud Translation API 翻译。
Switch to English

Android安全公告-2021年3月

2021年3月1日发布| 2021年3月3日更新

Android安全公告包含影响Android设备的安全漏洞的详细信息。 2021-03-05或更高版本的安全补丁程序级别可解决所有这些问题。要了解如何检查设备的安全补丁程序级别,请参阅检查并更新您的Android版本

至少在发布前一个月将所有问题通知Android合作伙伴。这些问题的源代码补丁已发布到Android开放源项目(AOSP)存储库,并已从此公告链接。该公告还包括指向AOSP之外的修补程序的链接。

这些问题中最严重的是系统组件中的关键安全漏洞,该漏洞可能使使用特制传输的远程攻击者能够在特权进程的上下文中执行任意代码。严重性评估基于利用漏洞可能对受影响的设备产生的影响,假设平台和服务缓解措施已出于开发目的而关闭,或者已成功绕开,则应进行评估

请参阅Android和Google Play保护缓解措施部分,以获取有关Android安全平台保护和Google Play Protect的详细信息,它们可以改善Android平台的安全性。

Android和Google服务缓解措施

这是Android安全平台和服务保护(例如Google Play Protect)提供的缓解措施的摘要。这些功能可降低在Android上成功利用安全漏洞的可能性。

  • 随着新版本Android平台的增强,对Android上许多问题的利用变得更加困难。我们鼓励所有用户在可能的情况下更新到最新版本的Android。
  • Android安全小组会通过Google Play Protect积极监控滥用情况,并警告用户有关潜在有害应用程序的信息。默认情况下,具有Google移动服务的设备会启用Google Play保护,这对于从Google Play外部安装应用的用户而言尤其重要。

2021-03-01安全补丁程序级别漏洞详细信息

在下面的部分中,我们提供了适用于2021-03-01补丁程序级别的每个安全漏洞的详细信息。漏洞被归类为受影响的组件。下表中描述了问题,包括CVE ID,关联的参考,漏洞类型严重性和更新的AOSP版本(如果适用)。如果可用,我们会将解决问题的公共更改链接到错误ID,例如AOSP更改列表。当多个更改与单个错误相关时,其他引用将链接到错误ID后面的数字。装有Android 10及更高版本的设备可能会收到安全更新以及Google Play系统更新

Android运行时

本节中的漏洞可能使本地攻击者能够在特权进程的上下文中执行任意代码。

CVE参考类型严重程度更新的AOSP版本
CVE-2021-0395 A-170315126结束时间高的11

框架

本节中最严重的漏洞可能使具有特权访问权限的本地攻击者能够访问敏感数据。

CVE参考类型严重程度更新的AOSP版本
CVE-2021-0391 A-172841550结束时间高的8.1、9、10、11
CVE-2021-0398 A-173516292结束时间高的11

系统

本节中最严重的漏洞可能使远程攻击者能够使用特制的传输在特权进程的上下文中执行任意代码。

CVE参考类型严重程度更新的AOSP版本
CVE-2021-0397 A-174052148 RCE批判的8.1、9、10、11
CVE-2017-14491 A-158221622 RCE高的8.1、9、10、11
CVE-2021-0393 A-168041375 RCE高的8.1、9、10、11
CVE-2021-0396 A-160610106 RCE高的8.1、9、10、11
CVE-2021-0390 A-174749461结束时间高的8.1、9、10、11
CVE-2021-0392 A-175124730结束时间高的9、10、11
CVE-2021-0394 A-172655291 [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ] [ 12 ] ID高的8.1、9、10、11

Google Play系统更新

Project Mainline组件中包含以下问题。

成分CVE
无线上网CVE-2021-0390

2021-03-05安全补丁程序级别漏洞详细信息

在下面的部分中,我们提供了适用于2021-03-05补丁程序级别的每个安全漏洞的详细信息。漏洞被归类为受影响的组件。下表中描述了问题,包括CVE ID,关联的参考,漏洞类型严重性和更新的AOSP版本(如果适用)。如果可用,我们会将解决该问题的公共更改链接到Bug ID,例如AOSP更改列表。当多个更改与单个错误相关时,其他引用将链接到错误ID后面的数字。

内核组件

本节中的漏洞可能使本地攻击者能够使用特制文件在特权进程的上下文中执行任意代码。

CVE参考类型严重程度成分
CVE-2021-0399 A-176919394
上游内核[ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ]
结束时间高的xt_qtaguid

高通组件

这些漏洞影响Qualcomm组件,并在适当的Qualcomm安全公告或安全警报中进一步详细描述。这些问题的严重性评估由高通直接提供。

CVE参考严重程度成分
CVE-2020-11223
A-172349026
QC-CR#2721399 *
高的相机
CVE-2020-11290 A-168917883
QC-CR#2761634
高的展示
CVE-2020-11308 A-175038288
QC-CR#2783331
高的引导程序
CVE-2020-11309 A-175038160
QC-CR#2783659
高的展示

高通封闭源组件

这些漏洞影响Qualcomm封闭源组件,并在适当的Qualcomm安全公告或安全警报中进一步详细描述。这些问题的严重性评估由高通直接提供。

CVE参考严重程度成分
CVE-2020-11192
A-168050025 *批判的闭源组件
CVE-2020-11204 A-162750025 *批判的闭源组件
CVE-2020-11218 A-168049956 *批判的闭源组件
CVE-2020-11227 A-168050276 *批判的闭源组件
CVE-2020-11228 A-168050345 *批判的闭源组件
CVE-2020-11165 A-160605782 *高的闭源组件
CVE-2020-11166 A-168051733 *高的闭源组件
CVE-2020-11171 A-168050346 *高的闭源组件
CVE-2020-11178 A-160605529 *高的闭源组件
CVE-2020-11186 A-168049957 *高的闭源组件
CVE-2020-11188 A-168050859 *高的闭源组件
CVE-2020-11189 A-168051051 *高的闭源组件
CVE-2020-11190 A-168051033 *高的闭源组件
CVE-2020-11194 A-162756908 *高的闭源组件
CVE-2020-11195 A-162756604 *高的闭源组件
CVE-2020-11198 A-162756735 *高的闭源组件
CVE-2020-11199 A-168050860 *高的闭源组件
CVE-2020-11220 A-168050239 *高的闭源组件
CVE-2020-11221 A-168051035 *高的闭源组件
CVE-2020-11222 A-168050578 *高的闭源组件
CVE-2020-11226 A-168050240 *高的闭源组件
CVE-2020-11299 A-175038625 *高的闭源组件

常见问题与解答

本部分回答阅读此公告后可能发生的常见问题。

1.如何确定我的设备是否已更新以解决这些问题?

要了解如何检查设备的安全补丁程序级别,请参阅检查并更新您的Android版本

  • 2021-03-01或更高版本的安全补丁程序级别解决了与2021-03-01安全补丁程序级别相关的所有问题。
  • 2021-03-05或更高版本的安全补丁程序级别解决了与2021-03-05安全补丁程序级别和所有以前的补丁程序级别相关的所有问题。

包含这些更新的设备制造商应将补丁程序字符串级别设置为:

  • [ro.build.version.security_patch]:[2021-03-01]
  • [ro.build.version.security_patch]:[2021-03-05]

对于Android 10或更高版本上的某些设备,Google Play系统更新将具有与2021-03-01安全补丁程序级别匹配的日期字符串。请参阅本文以获取有关如何安装安全更新的更多详细信息。

2.为什么此公告有两个安全补丁程序级别?

该公告具有两个安全补丁程序级别,因此Android合作伙伴可以灵活地更快地修复所有Android设备上类似的漏洞子集。鼓励Android合作伙伴修复此公告中的所有问题,并使用最新的安全补丁程序级别。

  • 使用2021-03-01安全补丁程序级别的设备必须包括与该安全补丁程序级别相关的所有问题,以及针对先前安全公告中报告的所有问题的修复程序。
  • 使用2021-03-05或更高版本的安全补丁程序的设备必须在此(和以前的)安全公告中包括所有适用的补丁程序。

鼓励合作伙伴在单个更新中捆绑针对他们要解决的所有问题的修补程序。

3.“类型”列中的条目是什么意思?

漏洞详细信息表的“类型”列中的条目引用了安全漏洞的分类。

缩写定义
RCE远程执行代码
结束时间特权提升
ID信息披露
拒绝服务拒绝服务
不适用分类不可用

4.“引用”列中的条目是什么意思?

漏洞详细信息表的“引用”列下的条目可能包含一个前缀,用于标识引用值所属的组织。

字首参考
一种- Android错误ID
质量控制高通参考编号
M-联发科技参考编号
N- NVIDIA参考编号
B- Broadcom参考编号

5.“引用”列中的Android错误ID旁边的*是什么意思?

未公开发布的问题在相应的参考ID旁边带有*。有关该问题的更新通常包含在可从Google Developer网站获得的Pixel设备的最新二进制驱动程序中。

6.为什么在此公告和设备/合作伙伴安全公告(例如Pixel公告)之间划分安全漏洞?

需要此安全公告中记录的安全漏洞,才能在Android设备上声明最新的安全补丁程序级别。声明安全补丁程序级别不需要设备/合作伙伴安全公告中记录的其他安全漏洞。 Android设备和芯片组制造商也可能会发布针对其产品的安全漏洞详细信息,例如Google华为LGE摩托罗拉诺基亚三星

版本号

版本日期笔记
1.0 2021年3月1日公告发布
1.1 2021年3月3日公告经过修订以包含AOSP链接