Google is committed to advancing racial equity for Black communities. See how.
本頁面由 Cloud Translation API 翻譯而成。
Switch to English

Android安全公告-2021年3月

2021年3月1日發布| 2021年3月3日更新

Android安全公告包含影響Android設備的安全漏洞的詳細信息。 2021-03-05或更高版本的安全補丁程序級別可以解決所有這些問題。要了解如何檢查設備的安全補丁程序級別,請參閱檢查並更新您的Android版本

Android合作夥伴會在發布前至少一個月收到所有問題的通知。這些問題的源代碼補丁已發佈到Android開放源項目(AOSP)存儲庫,並已從此公告鏈接。該公告還包括指向AOSP之外的修補程序的鏈接。

這些問題中最嚴重的是系統組件中的關鍵安全漏洞,該漏洞可能使使用特製傳輸的遠程攻擊者能夠在特權進程的上下文中執行任意代碼。嚴重性評估基於利用漏洞可能對受影響的設備產生的影響,假設平台和服務緩解措施已出於開發目的而關閉,或者已成功繞開,則應進行評估

請參閱Android和Google Play保護緩解措施部分,以獲取有關Android安全平台保護和Google Play Protect的詳細信息,它們可以改善Android平台的安全性。

Android和Google服務緩解措施

這是Android安全平台和服務保護(例如Google Play Protect)提供的緩解措施的摘要。這些功能降低了在Android上成功利用安全漏洞的可能性。

  • 隨著新版本Android平台的增強,對Android上許多問題的利用變得更加困難。我們鼓勵所有用戶在可能的情況下更新到最新版本的Android。
  • Android安全小組會通過Google Play Protect積極監控濫用情況,並警告用戶有關潛在有害應用程序的信息。默認情況下,具有Google移動服務的設備會啟用Google Play保護,這對於從Google Play外部安裝應用的用戶而言尤其重要。

2021-03-01安全補丁程序級別漏洞詳細信息

在下面的部分中,我們提供了適用於2021-03-01補丁程序級別的每個安全漏洞的詳細信息。漏洞被歸類為受影響的組件。下表中描述了問題,這些問題包括CVE ID,關聯的參考,漏洞類型嚴重性和更新的AOSP版本(如果適用)。如果可用,我們會將解決該問題的公共更改鏈接到錯誤ID,例如AOSP更改列表。當多個更改與單個錯誤相關時,其他引用將鏈接到錯誤ID後面的數字。裝有Android 10及更高版本的設備可能會收到安全更新以及Google Play系統更新

Android運行時

本節中的漏洞可能使本地攻擊者能夠在特權進程的上下文中執行任意代碼。

CVE參考類型嚴重程度更新的AOSP版本
CVE-2021-0395 A-170315126結束時間高的11

框架

本節中最嚴重的漏洞可能使具有特權訪問權限的本地攻擊者能夠訪問敏感數據。

CVE參考類型嚴重程度更新的AOSP版本
CVE-2021-0391 A-172841550結束時間高的8.1、9、10、11
CVE-2021-0398 A-173516292結束時間高的11

系統

本節中最嚴重的漏洞可能使遠程攻擊者能夠使用特製傳輸在特權進程的上下文中執行任意代碼。

CVE參考類型嚴重程度更新的AOSP版本
CVE-2021-0397 A-174052148 RCE批判的8.1、9、10、11
CVE-2017-14491 A-158221622 RCE高的8.1、9、10、11
CVE-2021-0393 A-168041375 RCE高的8.1、9、10、11
CVE-2021-0396 A-160610106 RCE高的8.1、9、10、11
CVE-2021-0390 A-174749461結束時間高的8.1、9、10、11
CVE-2021-0392 A-175124730計劃書高的9、10、11
CVE-2021-0394 A-172655291 [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ] [ 12 ] ID高的8.1、9、10、11

Google Play系統更新

Project Mainline組件中包含以下問題。

成分CVE
無線上網CVE-2021-0390

2021-03-05安全補丁程序級別漏洞詳細信息

在以下各節中,我們提供適用於2021-03-05補丁程序級別的每個安全漏洞的詳細信息。漏洞被歸類為受影響的組件。下表中描述了問題,包括CVE ID,關聯的參考,漏洞類型嚴重性和更新的AOSP版本(如果適用)。如果可用,我們會將解決該問題的公共更改鏈接到錯誤ID,例如AOSP更改列表。當多個更改與單個錯誤相關時,其他引用將鏈接到錯誤ID後面的數字。

內核組件

本節中的漏洞可能使本地攻擊者能夠使用特製文件在特權進程的上下文中執行任意代碼。

CVE參考類型嚴重程度成分
CVE-2021-0399 A-176919394
上游內核[ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ]
結束時間高的xt_qtaguid

高通組件

這些漏洞影響Qualcomm組件,並在適當的Qualcomm安全公告或安全警報中進一步詳細描述。這些問題的嚴重性評估由高通公司直接提供。

CVE參考嚴重程度成分
CVE-2020-11223
A-172349026
QC-CR#2721399 *
高的相機
CVE-2020-11290 A-168917883
QC-CR#2761634
高的展示
CVE-2020-11308 A-175038288
QC-CR#2783331
高的引導程序
CVE-2020-11309 A-175038160
QC-CR#2783659
高的展示

高通封閉源組件

這些漏洞影響Qualcomm封閉源組件,並在適當的Qualcomm安全公告或安全警報中進一步詳細描述。這些問題的嚴重性評估由高通直接提供。

CVE參考嚴重程度成分
CVE-2020-11192
A-168050025 *批判的閉源組件
CVE-2020-11204 A-162750025 *批判的閉源組件
CVE-2020-11218 A-168049956 *批判的閉源組件
CVE-2020-11227 A-168050276 *批判的閉源組件
CVE-2020-11228 A-168050345 *批判的閉源組件
CVE-2020-11165 A-160605782 *高的閉源組件
CVE-2020-11166 A-168051733 *高的閉源組件
CVE-2020-11171 A-168050346 *高的閉源組件
CVE-2020-11178 A-160605529 *高的閉源組件
CVE-2020-11186 A-168049957 *高的閉源組件
CVE-2020-11188 A-168050859 *高的閉源組件
CVE-2020-11189 A-168051051 *高的閉源組件
CVE-2020-11190 A-168051033 *高的閉源組件
CVE-2020-11194 A-162756908 *高的閉源組件
CVE-2020-11195 A-162756604 *高的閉源組件
CVE-2020-11198 A-162756735 *高的閉源組件
CVE-2020-11199 A-168050860 *高的閉源組件
CVE-2020-11220 A-168050239 *高的閉源組件
CVE-2020-11221 A-168051035 *高的閉源組件
CVE-2020-11222 A-168050578 *高的閉源組件
CVE-2020-11226 A-168050240 *高的閉源組件
CVE-2020-11299 A-175038625 *高的閉源組件

常見問題與解答

本部分回答閱讀此公告後可能發生的常見問題。

1.如何確定我的設備是否已更新以解決這些問題?

要了解如何檢查設備的安全補丁程序級別,請參閱檢查並更新您的Android版本

  • 2021-03-01或更高版本的安全補丁程序級別解決了與2021-03-01安全補丁程序級別相關的所有問題。
  • 2021-03-05或更高版本的安全補丁程序級別解決了與2021-03-05安全補丁程序級別和所有以前的補丁程序級別相關的所有問題。

包含這些更新的設備製造商應將補丁程序字符串級別設置為:

  • [ro.build.version.security_patch]:[2021-03-01]
  • [ro.build.version.security_patch]:[2021-03-05]

對於Android 10或更高版本上的某些設備,Google Play系統更新將具有與2021-03-01安全補丁程序級別匹配的日期字符串。請參閱本文以獲取有關如何安裝安全更新的更多詳細信息。

2.為什麼此公告有兩個安全補丁程序級別?

該公告具有兩個安全補丁程序級別,因此Android合作夥伴可以靈活地更快地修復所有Android設備上相似的漏洞的子集。鼓勵Android合作夥伴修復此公告中的所有問題,並使用最新的安全補丁程序級別。

  • 使用2021-03-01安全補丁程序級別的設備必須包括與該安全補丁程序級別相關的所有問題,以及針對先前安全公告中報告的所有問題的修復程序。
  • 使用2021-03-05或更高版本的安全補丁程序的設備必須在此(和以前的)安全公告中包含所有適用的補丁程序。

鼓勵合作夥伴在單個更新中捆綁針對他們要解決的所有問題的修補程序。

3.“類型”列中的條目是什麼意思?

漏洞詳細信息表的“類型”列中的條目引用了安全漏洞的分類。

縮寫定義
RCE遠程執行代碼
結束時間特權提升
ID信息披露
拒絕服務拒絕服務
不適用分類不可用

4.“引用”列中的條目是什麼意思?

漏洞詳細信息表的“引用”列下的條目可能包含一個前綴,用於標識引用值所屬的組織。

字首參考
一種- Android錯誤ID
質量控制高通參考編號
M-聯發科技參考編號
N- NVIDIA參考編號
B- Broadcom參考編號

5.“引用”列中的Android錯誤ID旁邊的*是什麼意思?

未公開發布的問題在相應的參考ID旁邊帶有*。該問題的更新通常包含在Google Developer站點上針對Pixel設備的最新二進制驅動程序中。

6.為什麼在此公告和設備/合作夥伴安全公告(例如Pixel公告)之間劃分安全漏洞?

必須聲明此安全公告中記錄的安全漏洞,才能在Android設備上聲明最新的安全補丁程序級別。聲明安全補丁程序級別不需要設備/合作夥伴安全公告中記錄的其他安全漏洞。 Android設備和芯片組製造商可能還會發布針對其產品的安全漏洞詳細信息,例如Google華為LGE摩托羅拉諾基亞三星

版本號

版本日期筆記
1.0 2021年3月1日公告發布
1.1 2021年3月3日公告經過修訂以包含AOSP鏈接