Примечания о безопасности к выпуску Android 10

Опубликовано 20 августа 2019 г. | Обновлено 21 ноября 2019 г.

В этих примечаниях о безопасности к выпуску Android приведена информация об уязвимостях в защите устройств Android, исправленных в версии Android 10. Все перечисленные здесь проблемы устранены на устройствах Android 10 с обновлением системы безопасности 2019-09-01 или более поздним (обновление 2019-09-01 по умолчанию используется в версии Android 10, опубликованной на сайте AOSP). Информацию о том, как проверить версию системы безопасности на своем устройстве, можно найти в этой статье Справочного центра.

Мы сообщаем партнерам Android обо всех проблемах до публикации бюллетеней. Исправления для устранения указанных уязвимостей в исходном коде будут добавлены в хранилище Android Open Source Project (AOSP) в рамках выпуска Android 10.

Уровень серьезности, указанный в этих примечаниях к выпуску, зависит от того, какой ущерб может быть нанесен устройству при атаке с использованием уязвимости, если средства защиты платформы и сервисов будут отключены разработчиком или взломаны.

Мы не получали сообщений об использовании недавно обнаруженных уязвимостей. Сведения о том, как платформа безопасности и Google Play Защита помогают снизить вероятность успешного использования уязвимостей Android, можно найти в разделе Предотвращение атак.

Объявления

  • Проблемы, описанные в этом документе, устранены в версии Android 10. Сведения о них предоставлены для справки и обеспечения информационной прозрачности.
  • Мы хотим поблагодарить исследователей в области безопасности за их непрерывные усилия, которые помогают обеспечить защиту экосистемы Android.

Предотвращение атак

Здесь описано, как платформа безопасности Android и средства защиты сервисов, например Google Play Защита, позволяют снизить вероятность успешного использования уязвимостей Android.

  • В новых версиях Android сложнее использовать многие уязвимости, поэтому мы рекомендуем всем пользователям своевременно обновлять систему.
  • Команда, отвечающая за безопасность Android, активно отслеживает злоупотребления с помощью Google Play Защиты и предупреждает пользователей об установке потенциально опасных приложений. Google Play Защита по умолчанию включена на телефонах и планшетах, использующих сервисы Google для мобильных устройств. Она особенно важна для пользователей, которые скачивают приложения не из Google Play.

Android 10: подробные сведения об уязвимостях

В этом разделе вы найдете подробную информацию обо всех уязвимостях, устраненных в версии Android 10. Проблемы сгруппированы по компонентам, которые они затрагивают. Для каждого указаны CVE, ссылки, тип уязвимости и уровень серьезности.

Android Runtime

CVE Ссылки Тип Уровень серьезности
CVE-2019-9290 A-113039724 EoP Средний
CVE-2019-9429 A-110035108 EoP Средний

Framework

CVE Ссылки Тип Уровень серьезности
CVE-2019-9262 A-111792351 УВК Средний
CVE-2019-9256 A-111921829 УВК Средний
CVE-2019-9280 A-119322269 EoP Средний
CVE-2019-9288 A-111363077 EoP Средний
CVE-2019-9384 A-120568007 EoP Средний
CVE-2019-9269 A-36899497 EoP Средний
CVE-2019-9374 A-129476618 EoP Средний
CVE-2019-9378 A-124539196 EoP Средний
CVE-2019-9380 A-123700098 EoP Средний
CVE-2019-9407 A-112434609 EoP Средний
CVE-2019-9351 A-128599864 РИ Средний
CVE-2019-9281 A-32748076 РИ Средний
CVE-2019-9377 A-128599663 РИ Средний
CVE-2019-9292 A-115384617 РИ Средний
CVE-2019-9424 A-110941092 РИ Средний
CVE-2019-9399 A-115635664 РИ Средний
CVE-2019-9421 A-111215250 РИ Средний
CVE-2019-9428 A-110150807 РИ Средний
CVE-2019-9323 A-30770233 РИ Средний
CVE-2019-9438 A-77821568 РИ Средний
CVE-2019-9373 A-130173029 ОО Средний
CVE-2019-9376 A-129287265 ОО Средний
CVE-2019-9372 A-132782448 ОО Средний

Библиотека

CVE Ссылки Тип Уровень серьезности
CVE-2019-9423 A-110986616 EoP Средний
CVE-2019-9459 A-79593569 EoP Средний

Media Framework

CVE Ссылки Тип Уровень серьезности
CVE-2019-9297 A-112890242 УВК Средний
CVE-2019-9298 A-112892194 УВК Средний
CVE-2019-9299 A-112663886 УВК Средний
CVE-2019-9300 A-112661610 УВК Средний
CVE-2019-9301 A-112663384 УВК Средний
CVE-2019-9302 A-112661356 УВК Средний
CVE-2019-9303 A-112661057 УВК Средний
CVE-2019-9304 A-112662270 УВК Средний
CVE-2019-9305 A-112661835 УВК Средний
CVE-2019-9306 A-112661348 УВК Средний
CVE-2019-9307 A-112661893 УВК Средний
CVE-2019-9308 A-112661742 УВК Средний
CVE-2019-9346 A-128433933 УВК Средний
CVE-2019-9357 A-112662995 УВК Средний
CVE-2019-9382 A-120874654 УВК Средний
CVE-2019-9405 A-112890225 УВК Средний
CVE-2019-9278 A-112537774 УВК Средний
CVE-2019-9310 A-112891546 EoP Средний
CVE-2019-9232 A-122675483 РИ Средний
CVE-2019-9247 A-120426166 РИ Средний
CVE-2019-9282 A-113211371 РИ Средний
CVE-2019-9293 A-117661116 РИ Средний
CVE-2019-9294 A-111764444 РИ Средний
CVE-2019-9313 A-112005441 РИ Средний
CVE-2019-9314 A-112329563 РИ Средний
CVE-2019-9315 A-112326216 РИ Средний
CVE-2019-9316 A-112052432 РИ Средний
CVE-2019-9317 A-112052258 РИ Средний
CVE-2019-9318 A-111764725 РИ Средний
CVE-2019-9319 A-111762100 РИ Средний
CVE-2019-9320 A-111761624 РИ Средний
CVE-2019-9321 A-111208713 РИ Средний
CVE-2019-9322 A-111128067 РИ Средний
CVE-2019-9325 A-112001302 РИ Средний
CVE-2019-9334 A-112859934 РИ Средний
CVE-2019-9335 A-112328051 РИ Средний
CVE-2019-9336 A-112326322 РИ Средний
CVE-2019-9337 A-112204376 РИ Средний
CVE-2019-9338 A-111762686 РИ Средний
CVE-2019-9347 A-109891727 РИ Средний
CVE-2019-9359 A-111407302 РИ Средний
CVE-2019-9361 A-111762807 РИ Средний
CVE-2019-9362 A-120426980 РИ Средний
CVE-2019-9364 A-73364631 РИ Средний
CVE-2019-9366 A-112052062 РИ Средний
CVE-2019-9370 A-133880046 РИ Средний
CVE-2019-9406 A-112552517 РИ Средний
CVE-2019-9408 A-112380157 РИ Средний
CVE-2019-9409 A-112272091 РИ Средний
CVE-2019-9410 A-112204443 РИ Средний
CVE-2019-9411 A-112204845 РИ Средний
CVE-2019-9412 A-112006096 РИ Средний
CVE-2019-9415 A-111805098 РИ Средний
CVE-2019-9416 A-111804142 РИ Средний
CVE-2019-9433 A-80479354 РИ Средний
CVE-2019-9252 A-73339042 РИ Средний
CVE-2019-9268 A-77474014 ОО Средний
CVE-2019-9283 A-112663564 ОО Средний
CVE-2019-9348 A-128431761 ОО Средний
CVE-2019-9349 A-124330204 ОО Средний
CVE-2019-9352 A-124253062 ОО Средний
CVE-2019-9371 A-132783254 ОО Средний
CVE-2019-9379 A-124329638 ОО Средний
CVE-2019-9418 A-111450210 ОО Средний
CVE-2019-9420 A-111272481 ОО Средний

Система

CVE Ссылки Тип Уровень серьезности
CVE-2019-9363 A-123584306 УВК Средний
CVE-2019-9365 A-109838537 УВК Средний
CVE-2018-9425 A-73884967 EoP Средний
CVE-2019-9463 A-113584607 EoP Средний
CVE-2019-9291 A-112159179 EoP Средний
CVE-2019-9386 A-122361874 EoP Средний
CVE-2019-9375 A-129344244 EoP Средний
CVE-2019-9238 A-121267042 EoP Средний
CVE-2019-9257 A-113572342 EoP Средний
CVE-2019-9258 A-113655028 EoP Средний
CVE-2019-9259 A-113575306 EoP Средний
CVE-2019-9263 A-73136824 EoP Средний
CVE-2019-9266 A-119501435 EoP Средний
CVE-2019-9295 A-36885811 EoP Средний
CVE-2019-9309 A-117985575 EoP Средний
CVE-2019-9350 A-129562815 EoP Средний
CVE-2019-9358 A-120156401 EoP Средний
CVE-2018-9489 A-77286245 РИ Средний
CVE-2019-9440 A-37637796 РИ Средний
CVE-2019-9277 A-68016944 РИ Средний
CVE-2019-9233 A-122529021 РИ Средний
CVE-2019-9234 A-122465453 РИ Средний
CVE-2019-9235 A-122323053 РИ Средний
CVE-2019-9236 A-122322613 РИ Средний
CVE-2019-9237 A-121325979 РИ Средний
CVE-2019-9239 A-121263487 РИ Средний
CVE-2019-9240 A-121150966 РИ Средний
CVE-2019-9241 A-121036603 РИ Средний
CVE-2019-9242 A-121035878 РИ Средний
CVE-2019-9243 A-120905706 РИ Средний
CVE-2019-9244 A-120865977 РИ Средний
CVE-2019-9246 A-120428637 РИ Средний
CVE-2019-9249 A-120255805 РИ Средний
CVE-2019-9250 A-120276962 РИ Средний
CVE-2019-9251 A-120274615 РИ Средний
CVE-2019-9253 A-109769728 РИ Средний
CVE-2019-9260 A-113495295 РИ Средний
CVE-2019-9265 A-37994606 РИ Средний
CVE-2019-9272 A-11596047 РИ Средний
CVE-2019-9284 A-111850706 РИ Средний
CVE-2019-9287 A-78287084 РИ Средний
CVE-2019-9289 A-79883824 РИ Средний
CVE-2018-9581 A-111698366 РИ Средний
CVE-2019-9296 A-112162089 РИ Средний
CVE-2019-9312 A-78288018 РИ Средний
CVE-2019-9326 A-111215173 РИ Средний
CVE-2019-9328 A-111895000 РИ Средний
CVE-2019-9329 A-112917952 РИ Средний
CVE-2019-9332 A-78286500 РИ Средний
CVE-2019-9333 A-109753657 РИ Средний
CVE-2019-9344 A-120845341 РИ Средний
CVE-2019-9353 A-123024201 РИ Средний
CVE-2019-9354 A-118148142 РИ Средний
CVE-2019-9355 A-115903122 РИ Средний
CVE-2019-9356 A-111699773 РИ Средний
CVE-2019-9360 A-120610663 РИ Средний
CVE-2019-9368 A-79883568 РИ Средний
CVE-2019-9369 A-79995407 РИ Средний
CVE-2019-9381 A-122677612 РИ Средний
CVE-2019-9383 A-120843827 РИ Средний
CVE-2019-9387 A-117569833 РИ Средний
CVE-2019-9388 A-117567437 РИ Средний
CVE-2019-9403 A-113512324 РИ Средний
CVE-2019-9414 A-111893041 РИ Средний
CVE-2019-9427 A-110166350 РИ Средний
CVE-2019-9431 A-109755179 РИ Средний
CVE-2019-9432 A-80546108 РИ Средний
CVE-2019-9434 A-80432895 РИ Средний
CVE-2019-9435 A-80146682 РИ Средний
CVE-2019-9330 A-111214739 РИ Средний
CVE-2019-9331 A-112272279 РИ Средний
CVE-2019-9341 A-111214770 РИ Средний
CVE-2019-9342 A-111214470 РИ Средний
CVE-2019-9343 A-112050983 РИ Средний
CVE-2019-9367 A-112106425 РИ Средний
CVE-2019-9413 A-111935831 РИ Средний
CVE-2019-9417 A-111450079 РИ Средний
CVE-2019-9419 A-111407544 РИ Средний
CVE-2019-9422 A-111214766 РИ Средний
CVE-2019-9279 A-110476382 ОО Средний
CVE-2019-9285 A-111215315 ОО Средний
CVE-2019-9286 A-111213909 ОО Средний
CVE-2019-9311 A-79431031 ОО Средний
CVE-2019-9327 A-112050583 ОО Средний
CVE-2019-9462 A-91544774 ОО Средний
CVE-2019-9389 A-117567058 ОО Средний
CVE-2019-9390 A-117551475 ОО Средний
CVE-2019-9393 A-116357965 ОО Средний
CVE-2019-9394 A-116351796 ОО Средний
CVE-2019-9395 A-116267405 ОО Средний
CVE-2019-9396 A-115747155 ОО Средний
CVE-2019-9397 A-115747410 ОО Средний
CVE-2019-9398 A-115745406 ОО Средний
CVE-2019-9400 A-115509589 ОО Средний
CVE-2019-9401 A-115375248 ОО Средний
CVE-2019-9402 A-115372550 ОО Средний
CVE-2019-9404 A-112923309 ОО Средний
CVE-2019-9425 A-110846194 ОО Средний
CVE-2019-9430 A-109838296 ОО Средний

Libxaac

Как отмечено в бюллетене по безопасности Android за ноябрь 2018 г., использовавшаяся в Android 9 библиотека Libxaac была переведена в разряд экспериментальных и исключена из всех рабочих сборок Android. Благодарим исследователей, которые помогли обнаружить уязвимости.

В частности, были найдены следующие проблемы: CVE-2019-2055, CVE-2019-2059, CVE-2019-2060, CVE-2019-2061, CVE-2019-2062, CVE-2019-2063, CVE-2019-2064, CVE-2019-2065, CVE-2019-2066, CVE-2019-2067, CVE-2019-2068, CVE-2019-2069, CVE-2019-2070, CVE-2019-2071, CVE-2019-2072, CVE-2019-2073, CVE-2019-2074, CVE-2019-2075, CVE-2019-2076, CVE-2019-2077, CVE-2019-2078, CVE-2019-2079, CVE-2019-2080, CVE-2019-2081, CVE-2019-2082, CVE-2019-2083, CVE-2019-2084, CVE-2019-2085, CVE-2019-2086, CVE-2019-2087, CVE-2019-2138, CVE-2019-2139, CVE-2019-2140, CVE-2019-2141, CVE-2019-2142, CVE-2019-2143, CVE-2019-2144, CVE-2019-2145, CVE-2019-2146, CVE-2019-2147, CVE-2019-2148, CVE-2019-2149, CVE-2019-2150, CVE-2019-2151, CVE-2019-2152, CVE-2019-2153, CVE-2019-2154, CVE-2019-2155, CVE-2019-2156, CVE-2019-2157, CVE-2019-2158, CVE-2019-2159, CVE-2019-2160, CVE-2019-2161, CVE-2019-2162, CVE-2019-2163, CVE-2019-2164, CVE-2019-2165, CVE-2019-2166, CVE-2019-2167, CVE-2019-2168, CVE-2019-2169, CVE-2019-2170, CVE-2019-2171, CVE-2019-2172, CVE-2019-9261, CVE-2019-9264, CVE-2019-9385 и CVE-2019-9391.

Часто задаваемые вопросы

В этом разделе мы отвечаем на вопросы, которые могут возникнуть после прочтения бюллетеня.

1. Как определить, установлено ли на устройстве обновление, в котором устранены перечисленные проблемы?

Информацию о том, как проверить версию системы безопасности на своем устройстве, можно найти в этой статье Справочного центра.

В версии Android 10, опубликованной на сайте AOSP, по умолчанию установлено обновление системы безопасности 2019-09-01. На устройствах с Android 10 и обновлением 2019-09-01 или более позднем устранены все уязвимости, описанные в этих примечаниях к выпуску.

2. Что означают сокращения в столбце Тип?
В таблицах с описанием уязвимостей есть столбец Тип. В нем указан тип уязвимости по следующей классификации:

Сокращение Описание
RCE Удаленное выполнение кода
EoP Повышение привилегий
ID Раскрытие информации
DoS Отказ в обслуживании
Н/Д Классификация недоступна

3. Что означает информация в столбце Ссылки?

В таблицах с описанием уязвимостей есть столбец Ссылки. Каждая запись в нем может содержать префикс, указывающий на источник ссылки.

Префикс Значение
A- Идентификатор ошибки Android

Версии

Версия Дата Примечания
1.0 20 августа 2019 г. Опубликованы примечания о безопасности к выпуску.
1.1 21 августа 2019 г. Внесены незначительные изменения в таблицы с описанием уязвимостей.
1.2 17 сентября 2019 г. Обновлен раздел с благодарностями и список проблем.
1.3 21 ноября 2019 г. Обновлен список проблем.