Google стремится продвигать расовую справедливость для черных сообществ. Смотри как.

Примечания о безопасности к выпуску Android 10

Опубликовано 20 августа 2019 г. | Обновлено 11 июня 2020 г.

В этих примечаниях к выпуску содержится информация об уязвимостях в защите, исправленных в Android 10. Все перечисленные здесь проблемы устранены на устройствах Android 10 с исправлением системы безопасности 2019-09-01 или более новым (исправление 2019-09-01 по умолчанию используется в версии Android 10, опубликованной на сайте AOSP). Информацию о том, как проверить версию исправления системы безопасности на устройстве, можно найти в Справочном центре.

Мы сообщаем партнерам Android обо всех проблемах до публикации бюллетеней. Исправления для устранения указанных уязвимостей в исходном коде будут добавлены в хранилище Android Open Source Project (AOSP) в рамках выпуска Android 10.

Уровень серьезности, указанный в этих примечаниях к выпуску, зависит от того, какой ущерб может быть нанесен устройству при атаке с использованием уязвимости, если средства защиты платформы и сервисов будут отключены разработчиком или взломаны злоумышленниками.

Мы не получали сообщений об использовании недавно обнаруженных уязвимостей. Сведения о том, как платформа безопасности и Google Play Защита помогают снизить вероятность использования уязвимостей Android, можно найти в разделе Предотвращение атак.

Объявления

  • Проблемы, описанные в этом документе, устранены в Android 10. Сведения о них предоставлены для справки и обеспечения информационной прозрачности.
  • Мы хотим поблагодарить исследователей в области безопасности за их непрерывную работу, которая помогает обеспечить защиту экосистемы Android.

Предотвращение атак

Здесь описано, как платформа безопасности Android и такие сервисы, как Google Play Защита, позволяют снизить вероятность успешного использования уязвимостей Android.

  • В новых версиях Android сложнее использовать многие уязвимости, поэтому мы рекомендуем всем пользователям своевременно обновлять систему.
  • Команда, отвечающая за безопасность Android, активно отслеживает злоупотребления с помощью Google Play Защиты и предупреждает пользователей об установке потенциально опасных приложений. Google Play Защита по умолчанию включена на телефонах и планшетах, использующих сервисы Google для мобильных устройств. Она особенно важна, если приложения устанавливаются не из Google Play.

Android 10: подробные сведения об уязвимостях

В этом разделе вы найдете подробную информацию обо всех уязвимостях, устраненных в Android 10. Проблемы сгруппированы по компонентам, которые они затрагивают. Для каждого случая приведены описание и таблица, где указаны CVE, ссылки, тип уязвимости и уровень серьезности.

Android Runtime

CVE Ссылки Тип Уровень серьезности
CVE-2019-9290 A-113039724 EoP Средний
CVE-2019-9429 A-110035108 EoP Средний

Framework

CVE Ссылки Тип Уровень серьезности
CVE-2019-9262 A-111792351 RCE Средний
CVE-2019-9256 A-111921829 RCE Средний
CVE-2019-9280 A-119322269 EoP Средний
CVE-2019-2216 A-38390530 EoP Средний
CVE-2019-2089 A-116608833 EoP Средний
CVE-2019-9288 A-111363077 EoP Средний
CVE-2019-9384 A-120568007 EoP Средний
CVE-2019-9269 A-36899497 EoP Средний
CVE-2019-9378 A-124539196 EoP Средний
CVE-2019-9380 A-123700098 EoP Средний
CVE-2019-9407 A-112434609 EoP Средний
CVE-2019-2088 A-143895055 ID Средний
CVE-2019-2058 A-136089102 ID Средний
CVE-2019-9351 A-128599864 ID Средний
CVE-2019-9281 A-32748076 ID Средний
CVE-2019-9377 A-128599663 ID Средний
CVE-2019-9292 A-115384617 ID Средний
CVE-2019-9424 A-110941092 ID Средний
CVE-2019-9399 A-115635664 ID Средний
CVE-2019-9421 A-111215250 ID Средний
CVE-2019-9428 A-110150807 ID Средний
CVE-2019-9323 A-30770233 ID Средний
CVE-2019-9438 A-77821568 ID Средний
CVE-2019-9373 A-130173029 DoS Средний
CVE-2019-9376 A-129287265 DoS Средний
CVE-2019-9372 A-132782448 DoS Средний

Библиотека

CVE Ссылки Тип Уровень серьезности
CVE-2019-9423 A-110986616 EoP Средний
CVE-2019-9459 A-79593569 EoP Средний
CVE-2020-0237 A-79592512 EoP Средний

Media Framework

CVE Ссылки Тип Уровень серьезности
CVE-2019-9297 A-112890242 RCE Средний
CVE-2019-9298 A-112892194 RCE Средний
CVE-2019-9299 A-112663886 RCE Средний
CVE-2019-9300 A-112661610 RCE Средний
CVE-2019-9301 A-112663384 RCE Средний
CVE-2019-9302 A-112661356 RCE Средний
CVE-2019-9303 A-112661057 RCE Средний
CVE-2019-9304 A-112662270 RCE Средний
CVE-2019-9305 A-112661835 RCE Средний
CVE-2019-9306 A-112661348 RCE Средний
CVE-2019-9307 A-112661893 RCE Средний
CVE-2019-9308 A-112661742 RCE Средний
CVE-2019-9346 A-128433933 RCE Средний
CVE-2019-9357 A-112662995 RCE Средний
CVE-2019-9382 A-120874654 RCE Средний
CVE-2019-9405 A-112890225 RCE Средний
CVE-2019-9278 A-112537774 RCE Средний
CVE-2020-0086 A-131859347 EoP Средний
CVE-2019-9310 A-112891546 EoP Средний
CVE-2019-9232 A-122675483 ID Средний
CVE-2019-9247 A-120426166 ID Средний
CVE-2019-9282 A-113211371 ID Средний
CVE-2019-9293 A-117661116 ID Средний
CVE-2019-9294 A-111764444 ID Средний
CVE-2019-9313 A-112005441 ID Средний
CVE-2019-9314 A-112329563 ID Средний
CVE-2019-9315 A-112326216 ID Средний
CVE-2019-9316 A-112052432 ID Средний
CVE-2019-9317 A-112052258 ID Средний
CVE-2019-9318 A-111764725 ID Средний
CVE-2019-9319 A-111762100 ID Средний
CVE-2019-9320 A-111761624 ID Средний
CVE-2019-9321 A-111208713 ID Средний
CVE-2019-9322 A-111128067 ID Средний
CVE-2019-9325 A-112001302 ID Средний
CVE-2019-9334 A-112859934 ID Средний
CVE-2019-9335 A-112328051 ID Средний
CVE-2019-9336 A-112326322 ID Средний
CVE-2019-9337 A-112204376 ID Средний
CVE-2019-9338 A-111762686 ID Средний
CVE-2019-9347 A-109891727 ID Средний
CVE-2019-9359 A-111407302 ID Средний
CVE-2019-9361 A-111762807 ID Средний
CVE-2019-9362 A-120426980 ID Средний
CVE-2019-9364 A-73364631 ID Средний
CVE-2019-9366 A-112052062 ID Средний
CVE-2019-9370 A-133880046 ID Средний
CVE-2019-9406 A-112552517 ID Средний
CVE-2019-9408 A-112380157 ID Средний
CVE-2019-9409 A-112272091 ID Средний
CVE-2019-9410 A-112204443 ID Средний
CVE-2019-9411 A-112204845 ID Средний
CVE-2019-9412 A-112006096 ID Средний
CVE-2019-9415 A-111805098 ID Средний
CVE-2019-9416 A-111804142 ID Средний
CVE-2019-9433 A-80479354 ID Средний
CVE-2019-9252 A-73339042 ID Средний
CVE-2019-9268 A-77474014 DoS Средний
CVE-2020-0088 A-124389881 DoS Средний
CVE-2019-9283 A-112663564 DoS Средний
CVE-2019-9348 A-128431761 DoS Средний
CVE-2019-9349 A-124330204 DoS Средний
CVE-2019-9352 A-124253062 DoS Средний
CVE-2019-9371 A-132783254 DoS Средний
CVE-2019-9379 A-124329638 DoS Средний
CVE-2019-9418 A-111450210 DoS Средний
CVE-2019-9420 A-111272481 DoS Средний

Система

CVE Ссылки Тип Уровень серьезности
CVE-2019-9363 A-123584306 RCE Средний
CVE-2019-9365 A-109838537 RCE Средний
CVE-2018-9425 A-73884967 EoP Средний
CVE-2019-9463 A-113584607 EoP Средний
CVE-2019-9291 A-112159179 EoP Средний
CVE-2019-9386 A-122361874 EoP Средний
CVE-2019-9375 A-129344244 EoP Средний
CVE-2019-9238 A-121267042 EoP Средний
CVE-2019-9257 A-113572342 EoP Средний
CVE-2019-9258 A-113655028 EoP Средний
CVE-2019-9259 A-113575306 EoP Средний
CVE-2019-9263 A-73136824 EoP Средний
CVE-2019-9266 A-119501435 EoP Средний
CVE-2019-9295 A-36885811 EoP Средний
CVE-2019-9309 A-117985575 EoP Средний
CVE-2019-9350 A-129562815 EoP Средний
CVE-2019-9358 A-120156401 EoP Средний
CVE-2018-9489 A-77286245 ID Средний
CVE-2019-9473 A-115363533 ID Средний
CVE-2019-9474 A-79996267 ID Средний
CVE-2019-9440 A-37637796 ID Средний
CVE-2019-9277 A-68016944 ID Средний
CVE-2019-9233 A-122529021 ID Средний
CVE-2019-9234 A-122465453 ID Средний
CVE-2019-9235 A-122323053 ID Средний
CVE-2019-9236 A-122322613 ID Средний
CVE-2019-9237 A-121325979 ID Средний
CVE-2019-9239 A-121263487 ID Средний
CVE-2019-9240 A-121150966 ID Средний
CVE-2019-9241 A-121036603 ID Средний
CVE-2019-9242 A-121035878 ID Средний
CVE-2019-9243 A-120905706 ID Средний
CVE-2019-9244 A-120865977 ID Средний
CVE-2019-9246 A-120428637 ID Средний
CVE-2019-9249 A-120255805 ID Средний
CVE-2019-9250 A-120276962 ID Средний
CVE-2019-9251 A-120274615 ID Средний
CVE-2019-9253 A-109769728 ID Средний
CVE-2019-9260 A-113495295 ID Средний
CVE-2019-9265 A-37994606 ID Средний
CVE-2019-9272 A-11596047 ID Средний
CVE-2019-9284 A-111850706 ID Средний
CVE-2019-9287 A-78287084 ID Средний
CVE-2019-9289 A-79883824 ID Средний
CVE-2018-9581 A-111698366 ID Средний
CVE-2019-9296 A-112162089 ID Средний
CVE-2019-9312 A-78288018 ID Средний
CVE-2019-9326 A-111215173 ID Средний
CVE-2019-9328 A-111895000 ID Средний
CVE-2019-9329 A-112917952 ID Средний
CVE-2019-9332 A-78286500 ID Средний
CVE-2019-9333 A-109753657 ID Средний
CVE-2019-9344 A-120845341 ID Средний
CVE-2019-9353 A-123024201 ID Средний
CVE-2019-9354 A-118148142 ID Средний
CVE-2019-9355 A-115903122 ID Средний
CVE-2019-9356 A-111699773 ID Средний
CVE-2019-9360 A-120610663 ID Средний
CVE-2019-9368 A-79883568 ID Средний
CVE-2019-9369 A-79995407 ID Средний
CVE-2019-9381 A-122677612 ID Средний
CVE-2019-9383 A-120843827 ID Средний
CVE-2019-9387 A-117569833 ID Средний
CVE-2019-9388 A-117567437 ID Средний
CVE-2019-9403 A-113512324 ID Средний
CVE-2019-9414 A-111893041 ID Средний
CVE-2019-9427 A-110166350 ID Средний
CVE-2019-9431 A-109755179 ID Средний
CVE-2019-9432 A-80546108 ID Средний
CVE-2019-9434 A-80432895 ID Средний
CVE-2019-9435 A-80146682 ID Средний
CVE-2019-9330 A-111214739 ID Средний
CVE-2019-9331 A-112272279 ID Средний
CVE-2019-9341 A-111214770 ID Средний
CVE-2019-9342 A-111214470 ID Средний
CVE-2019-9343 A-112050983 ID Средний
CVE-2019-9367 A-112106425 ID Средний
CVE-2019-9413 A-111935831 ID Средний
CVE-2019-9417 A-111450079 ID Средний
CVE-2019-9419 A-111407544 ID Средний
CVE-2019-9422 A-111214766 ID Средний
CVE-2020-0236 A-79703353 ID Средний
CVE-2019-9279 A-110476382 DoS Средний
CVE-2019-9285 A-111215315 DoS Средний
CVE-2019-9286 A-111213909 DoS Средний
CVE-2019-9311 A-79431031 DoS Средний
CVE-2019-9327 A-112050583 DoS Средний
CVE-2019-9462 A-91544774 DoS Средний
CVE-2019-9389 A-117567058 DoS Средний
CVE-2019-9390 A-117551475 DoS Средний
CVE-2019-9393 A-116357965 DoS Средний
CVE-2019-9394 A-116351796 DoS Средний
CVE-2019-9395 A-116267405 DoS Средний
CVE-2019-9396 A-115747155 DoS Средний
CVE-2019-9397 A-115747410 DoS Средний
CVE-2019-9398 A-115745406 DoS Средний
CVE-2019-9400 A-115509589 DoS Средний
CVE-2019-9401 A-115375248 DoS Средний
CVE-2019-9402 A-115372550 DoS Средний
CVE-2019-9404 A-112923309 DoS Средний
CVE-2019-9425 A-110846194 DoS Средний
CVE-2019-9430 A-109838296 DoS Средний

Libxaac

Как отмечено в бюллетене по безопасности Android за ноябрь 2018 года, библиотека Libxaac, использовавшаяся в Android 9, была переведена в разряд экспериментальных и исключена из всех рабочих сборок Android. Благодарим исследователей, которые помогли обнаружить уязвимости.

В частности, были найдены следующие проблемы: CVE-2019-2055, CVE-2019-2059, CVE-2019-2060, CVE-2019-2061, CVE-2019-2062, CVE-2019-2063, CVE-2019-2064, CVE-2019-2065, CVE-2019-2066, CVE-2019-2067, CVE-2019-2068, CVE-2019-2069, CVE-2019-2070, CVE-2019-2071, CVE-2019-2072, CVE-2019-2073, CVE-2019-2074, CVE-2019-2075, CVE-2019-2076, CVE-2019-2077, CVE-2019-2078, CVE-2019-2079, CVE-2019-2080, CVE-2019-2081, CVE-2019-2082, CVE-2019-2083, CVE-2019-2084, CVE-2019-2085, CVE-2019-2086, CVE-2019-2087, CVE-2019-2138, CVE-2019-2139, CVE-2019-2140, CVE-2019-2141, CVE-2019-2142, CVE-2019-2143, CVE-2019-2144, CVE-2019-2145, CVE-2019-2146, CVE-2019-2147, CVE-2019-2148, CVE-2019-2149, CVE-2019-2150, CVE-2019-2151, CVE-2019-2152, CVE-2019-2153, CVE-2019-2154, CVE-2019-2155, CVE-2019-2156, CVE-2019-2157, CVE-2019-2158, CVE-2019-2159, CVE-2019-2160, CVE-2019-2161, CVE-2019-2162, CVE-2019-2163, CVE-2019-2164, CVE-2019-2165, CVE-2019-2166, CVE-2019-2167, CVE-2019-2168, CVE-2019-2169, CVE-2019-2170, CVE-2019-2171, CVE-2019-2172, CVE-2019-9261, CVE-2019-9264, CVE-2019-9385 и CVE-2019-9391.

Часто задаваемые вопросы

В этом разделе мы отвечаем на вопросы, которые могут возникнуть после прочтения бюллетеня.

1. Как определить, установлено ли на устройство обновление, в котором устранены перечисленные проблемы?

Информацию о том, как проверить версию исправления системы безопасности на устройстве, можно найти в Справочном центре.

В версии Android 10, опубликованной на сайте AOSP, по умолчанию используется исправление системы безопасности 2019-09-01. На устройствах Android 10 с исправлением 2019-09-01 или более новым устранены все уязвимости, описанные в этих примечаниях к выпуску.

2. Что означают сокращения в столбце Тип?
В таблицах с описанием уязвимостей есть столбец Тип. В нем указан тип уязвимости по следующей классификации:

Сокращение Описание
RCE Удаленное выполнение кода (Remote code execution)
EoP Повышение привилегий (Elevation of privilege)
ID Раскрытие информации (Information disclosure)
DoS Отказ в обслуживании (Denial of service)
Н/Д Классификация недоступна

3. Что означает информация в столбце Ссылки?

В таблицах с описанием уязвимостей есть столбец Ссылки. Каждая запись в нем может содержать префикс, указывающий на источник ссылки, а именно:

Префикс Значение
A- Идентификатор ошибки Android

Версии

Версия Дата Примечания
1.0 20 августа 2019 г. Опубликованы примечания о безопасности к выпуску.
1.1 21 августа 2019 г. Внесены незначительные изменения в таблицы с описанием уязвимостей.
1.2 17 сентября 2019 г. Обновлен раздел с благодарностями и список проблем.
1.3 21 ноября 2019 г. Обновлен список проблем.
1.4 12 февраля 2020 г. Обновлен список проблем.
1.5 26 февраля 2020 г. Обновлен список проблем.
1.6 11 мая 2020 г. Обновлен список проблем.
1.7 11 июня 2020 г. Обновлен список проблем.