Notas de lançamento de segurança do Android 10

Publicado em 20 de agosto de 2019 | Atualizado em 27 de janeiro de 2021

Estas Notas de versão de segurança do Android contêm detalhes das vulnerabilidades de segurança que afetam os dispositivos Android que são abordadas como parte do Android 10. Os dispositivos Android 10 com um nível de patch de segurança de 2019-09-01 ou posterior estão protegidos contra esses problemas (Android 10, conforme lançado em AOSP, tem um nível de patch de segurança padrão de 2019-09-01). Para saber como verificar o nível de patch de segurança de um dispositivo, consulte Como verificar e atualizar sua versão do Android .

Os parceiros Android são notificados de todos os problemas antes da publicação. Os patches de código-fonte para esses problemas serão lançados no repositório do Android Open Source Project (AOSP) como parte da versão do Android 10.

A avaliação de gravidade dos problemas nestas notas de versão é baseada no efeito que a exploração da vulnerabilidade possivelmente teria em um dispositivo afetado, supondo que as atenuações de plataforma e serviço estejam desativadas para fins de desenvolvimento ou se forem ignoradas com êxito.

Não tivemos relatos de exploração ativa de clientes ou abuso desses problemas relatados recentemente. Consulte a seção de mitigações do Android e do Google Play Protect para obter detalhes sobre as proteções da plataforma de segurança Android e o Google Play Protect, que melhoram a segurança da plataforma Android.

Anúncios

  • Os problemas descritos neste documento são abordados como parte do Android 10. Essas informações são fornecidas para referência e transparência.
  • Gostaríamos de reconhecer e agradecer à comunidade de pesquisa de segurança por suas contribuições contínuas para proteger o ecossistema Android.

Mitigações de serviço Android e Google

Este é um resumo das mitigações fornecidas pela plataforma de segurança do Android e proteções de serviços, como o Google Play Protect . Esses recursos reduzem a probabilidade de vulnerabilidades de segurança serem exploradas com sucesso no Android.

  • A exploração de muitos problemas no Android é dificultada pelos aprimoramentos nas versões mais recentes da plataforma Android. Incentivamos todos os usuários a atualizar para a versão mais recente do Android sempre que possível.
  • A equipe de segurança do Android monitora ativamente o abuso por meio do Google Play Protect e avisa os usuários sobre aplicativos potencialmente prejudiciais . O Google Play Protect está ativado por padrão em dispositivos com Google Mobile Services e é especialmente importante para usuários que instalam aplicativos de fora do Google Play.

Android 10: detalhes da vulnerabilidade

As seções abaixo fornecem detalhes para vulnerabilidades de segurança corrigidas como parte do Android 10. As vulnerabilidades são agrupadas no componente que afetam e incluem detalhes como CVE, referências associadas, tipo de vulnerabilidade e gravidade .

Tempo de execução do Android

CVE Referências Tipo Gravidade
CVE-2019-9290 A-113039724 EoP Moderado
CVE-2019-9429 A-110035108 EoP Moderado

Estrutura

CVE Referências Tipo Gravidade
CVE-2019-9262 A-111792351 RCE Moderado
CVE-2019-9256 A-111921829 RCE Moderado
CVE-2019-9280 A-119322269 EoP Moderado
CVE-2019-2216 A-38390530 EoP Moderado
CVE-2019-2089 A-116608833 EoP Moderado
CVE-2019-9288 A-111363077 EoP Moderado
CVE-2019-9384 A-120568007 EoP Moderado
CVE-2019-9269 A-36899497 EoP Moderado
CVE-2019-9378 A-124539196 EoP Moderado
CVE-2019-9380 A-123700098 EoP Moderado
CVE-2019-9407 A-112434609 EoP Moderado
CVE-2019-2088 A-143895055 identificação Moderado
CVE-2019-2058 A-136089102 identificação Moderado
CVE-2019-9351 A-128599864 identificação Moderado
CVE-2019-9281 A-32748076 identificação Moderado
CVE-2019-9377 A-128599663 identificação Moderado
CVE-2019-9292 A-115384617 identificação Moderado
CVE-2019-9424 A-110941092 identificação Moderado
CVE-2019-9399 A-115635664 identificação Moderado
CVE-2019-9421 A-111215250 identificação Moderado
CVE-2019-9323 A-30770233 identificação Moderado
CVE-2019-9438 A-77821568 identificação Moderado
CVE-2019-9373 A-130173029 DoS Moderado
CVE-2019-9372 A-132782448 DoS Moderado

Biblioteca

CVE Referências Tipo Gravidade
CVE-2019-9423 A-110986616 EoP Moderado
CVE-2019-9459 A-79593569 EoP Moderado

Estrutura de mídia

CVE Referências Tipo Gravidade
CVE-2019-9297 A-112890242 RCE Moderado
CVE-2019-9298 A-112892194 RCE Moderado
CVE-2019-9299 A-112663886 RCE Moderado
CVE-2019-9300 A-112661610 RCE Moderado
CVE-2019-9301 A-112663384 RCE Moderado
CVE-2019-9302 A-112661356 RCE Moderado
CVE-2019-9303 A-112661057 RCE Moderado
CVE-2019-9304 A-112662270 RCE Moderado
CVE-2019-9305 A-112661835 RCE Moderado
CVE-2019-9306 A-112661348 RCE Moderado
CVE-2019-9307 A-112661893 RCE Moderado
CVE-2019-9308 A-112661742 RCE Moderado
CVE-2019-9346 A-128433933 RCE Moderado
CVE-2019-9357 A-112662995 RCE Moderado
CVE-2019-9382 A-120874654 RCE Moderado
CVE-2019-9405 A-112890225 RCE Moderado
CVE-2019-9278 A-112537774 RCE Moderado
CVE-2020-0086 A-131859347 EoP Moderado
CVE-2019-9310 A-112891546 EoP Moderado
CVE-2019-9232 A-122675483 identificação Moderado
CVE-2019-9247 A-120426166 identificação Moderado
CVE-2019-9282 A-113211371 identificação Moderado
CVE-2019-9293 A-117661116 identificação Moderado
CVE-2019-9294 A-111764444 identificação Moderado
CVE-2019-9313 A-112005441 identificação Moderado
CVE-2019-9314 A-112329563 identificação Moderado
CVE-2019-9315 A-112326216 identificação Moderado
CVE-2019-9316 A-112052432 identificação Moderado
CVE-2019-9317 A-112052258 identificação Moderado
CVE-2019-9318 A-111764725 identificação Moderado
CVE-2019-9319 A-111762100 identificação Moderado
CVE-2019-9320 A-111761624 identificação Moderado
CVE-2019-9321 A-111208713 identificação Moderado
CVE-2019-9322 A-111128067 identificação Moderado
CVE-2019-9325 A-112001302 identificação Moderado
CVE-2019-9334 A-112859934 identificação Moderado
CVE-2019-9335 A-112328051 identificação Moderado
CVE-2019-9336 A-112326322 identificação Moderado
CVE-2019-9337 A-112204376 identificação Moderado
CVE-2019-9338 A-111762686 identificação Moderado
CVE-2019-9347 A-109891727 identificação Moderado
CVE-2019-9359 A-111407302 identificação Moderado
CVE-2019-9361 A-111762807 identificação Moderado
CVE-2019-9362 A-120426980 identificação Moderado
CVE-2019-9364 A-73364631 identificação Moderado
CVE-2019-9366 A-112052062 identificação Moderado
CVE-2019-9370 A-133880046 identificação Moderado
CVE-2019-9406 A-112552517 identificação Moderado
CVE-2019-9408 A-112380157 identificação Moderado
CVE-2019-9409 A-112272091 identificação Moderado
CVE-2019-9410 A-112204443 identificação Moderado
CVE-2019-9411 A-112204845 identificação Moderado
CVE-2019-9412 A-112006096 identificação Moderado
CVE-2019-9415 A-111805098 identificação Moderado
CVE-2019-9416 A-111804142 identificação Moderado
CVE-2019-9433 A-80479354 identificação Moderado
CVE-2019-9252 A-73339042 identificação Moderado
CVE-2019-9268 A-77474014 DoS Moderado
CVE-2020-0088 A-124389881 DoS Moderado
CVE-2019-9283 A-112663564 DoS Moderado
CVE-2019-9348 A-128431761 DoS Moderado
CVE-2019-9349 A-124330204 DoS Moderado
CVE-2019-9352 A-124253062 DoS Moderado
CVE-2019-9371 A-132783254 DoS Moderado
CVE-2019-9379 A-124329638 DoS Moderado
CVE-2019-9418 A-111450210 DoS Moderado
CVE-2019-9420 A-111272481 DoS Moderado

Sistema

CVE Referências Tipo Gravidade
CVE-2019-9475 A-9496886 identificação Alto
CVE-2019-9363 A-123584306 RCE Moderado
CVE-2019-9365 A-109838537 RCE Moderado
CVE-2018-9425 A-73884967 EoP Moderado
CVE-2019-9463 A-113584607 EoP Moderado
CVE-2019-9291 A-112159179 EoP Moderado
CVE-2019-9386 A-122361874 EoP Moderado
CVE-2019-9375 A-129344244 EoP Moderado
CVE-2019-9238 A-121267042 EoP Moderado
CVE-2019-9257 A-113572342 EoP Moderado
CVE-2019-9258 A-113655028 EoP Moderado
CVE-2019-9259 A-113575306 EoP Moderado
CVE-2019-9263 A-73136824 EoP Moderado
CVE-2019-9266 A-119501435 EoP Moderado
CVE-2019-9295 A-36885811 EoP Moderado
CVE-2019-9309 A-117985575 EoP Moderado
CVE-2019-9350 A-129562815 EoP Moderado
CVE-2019-9358 A-120156401 EoP Moderado
CVE-2018-9489 A-77286245 identificação Moderado
CVE-2019-9473 A-115363533 identificação Moderado
CVE-2019-9474 A-79996267 identificação Moderado
CVE-2019-9440 A-37637796 identificação Moderado
CVE-2019-9277 A-68016944 identificação Moderado
CVE-2019-9233 A-122529021 identificação Moderado
CVE-2019-9234 A-122465453 identificação Moderado
CVE-2019-9235 A-122323053 identificação Moderado
CVE-2019-9236 A-122322613 identificação Moderado
CVE-2019-9237 A-121325979 identificação Moderado
CVE-2019-9239 A-121263487 identificação Moderado
CVE-2019-9240 A-121150966 identificação Moderado
CVE-2019-9241 A-121036603 identificação Moderado
CVE-2019-9242 A-121035878 identificação Moderado
CVE-2019-9243 A-120905706 identificação Moderado
CVE-2019-9244 A-120865977 identificação Moderado
CVE-2019-9246 A-120428637 identificação Moderado
CVE-2019-9249 A-120255805 identificação Moderado
CVE-2019-9250 A-120276962 identificação Moderado
CVE-2019-9251 A-120274615 identificação Moderado
CVE-2019-9253 A-109769728 identificação Moderado
CVE-2019-9260 A-113495295 identificação Moderado
CVE-2019-9265 A-37994606 identificação Moderado
CVE-2019-9272 A-11596047 identificação Moderado
CVE-2019-9284 A-111850706 identificação Moderado
CVE-2019-9287 A-78287084 identificação Moderado
CVE-2019-9289 A-79883824 identificação Moderado
CVE-2018-9581 A-111698366 identificação Moderado
CVE-2019-9296 A-112162089 identificação Moderado
CVE-2019-9312 A-78288018 identificação Moderado
CVE-2019-9326 A-111215173 identificação Moderado
CVE-2019-9328 A-111895000 identificação Moderado
CVE-2019-9329 A-112917952 identificação Moderado
CVE-2019-9332 A-78286500 identificação Moderado
CVE-2019-9333 A-109753657 identificação Moderado
CVE-2019-9344 A-120845341 identificação Moderado
CVE-2019-9353 A-123024201 identificação Moderado
CVE-2019-9354 A-118148142 identificação Moderado
CVE-2019-9355 A-115903122 identificação Moderado
CVE-2019-9356 A-111699773 identificação Moderado
CVE-2019-9360 A-120610663 identificação Moderado
CVE-2019-9368 A-79883568 identificação Moderado
CVE-2019-9369 A-79995407 identificação Moderado
CVE-2019-9381 A-122677612 identificação Moderado
CVE-2019-9383 A-120843827 identificação Moderado
CVE-2019-9387 A-117569833 identificação Moderado
CVE-2019-9388 A-117567437 identificação Moderado
CVE-2019-9403 A-113512324 identificação Moderado
CVE-2019-9414 A-111893041 identificação Moderado
CVE-2019-9427 A-110166350 identificação Moderado
CVE-2019-9431 A-109755179 identificação Moderado
CVE-2019-9432 A-80546108 identificação Moderado
CVE-2019-9434 A-80432895 identificação Moderado
CVE-2019-9435 A-80146682 identificação Moderado
CVE-2019-9330 A-111214739 identificação Moderado
CVE-2019-9331 A-112272279 identificação Moderado
CVE-2019-9341 A-111214770 identificação Moderado
CVE-2019-9342 A-111214470 identificação Moderado
CVE-2019-9343 A-112050983 identificação Moderado
CVE-2019-9367 A-112106425 identificação Moderado
CVE-2019-9413 A-111935831 identificação Moderado
CVE-2019-9417 A-111450079 identificação Moderado
CVE-2019-9419 A-111407544 identificação Moderado
CVE-2019-9422 A-111214766 identificação Moderado
CVE-2020-0236 A-79703353 identificação Moderado
CVE-2019-9279 A-110476382 DoS Moderado
CVE-2019-9285 A-111215315 DoS Moderado
CVE-2019-9286 A-111213909 DoS Moderado
CVE-2019-9311 A-79431031 DoS Moderado
CVE-2019-9327 A-112050583 DoS Moderado
CVE-2019-9462 A-91544774 DoS Moderado
CVE-2019-9389 A-117567058 DoS Moderado
CVE-2019-9390 A-117551475 DoS Moderado
CVE-2019-9393 A-116357965 DoS Moderado
CVE-2019-9394 A-116351796 DoS Moderado
CVE-2019-9395 A-116267405 DoS Moderado
CVE-2019-9396 A-115747155 DoS Moderado
CVE-2019-9397 A-115747410 DoS Moderado
CVE-2019-9398 A-115745406 DoS Moderado
CVE-2019-9400 A-115509589 DoS Moderado
CVE-2019-9401 A-115375248 DoS Moderado
CVE-2019-9402 A-115372550 DoS Moderado
CVE-2019-9404 A-112923309 DoS Moderado
CVE-2019-9425 A-110846194 DoS Moderado
CVE-2019-9430 A-109838296 DoS Moderado

Libxaac

A biblioteca libxaac do Android 9 foi marcada como experimental e removida das compilações do Android de produção como parte do Boletim de segurança do Android de novembro de 2018 . Gostaríamos de agradecer aos pesquisadores por suas descobertas.

Os problemas identificados incluem os seguintes IDs CVE: CVE-2019-2055, CVE-2019-2059, CVE-2019-2060, CVE-2019-2061, CVE-2019-2062, CVE-2019-2063, CVE-2019-2064 , CVE-2019-2065, CVE-2019-2066, CVE-2019-2067, CVE-2019-2068, CVE-2019-2069, CVE-2019-2070, CVE-2019-2071, CVE-2019-2072, CVE -2019-2073, CVE-2019-2074, CVE-2019-2075, CVE-2019-2076, CVE-2019-2077, CVE-2019-2078, CVE-2019-2079, CVE-2019-2080, CVE-2019 -2081, CVE-2019-2082, CVE-2019-2083, CVE-2019-2084, CVE-2019-2085, CVE-2019-2086, CVE-2019-2087, CVE-2019-2138, CVE-2019-2139 , CVE-2019-2140, CVE-2019-2141, CVE-2019-2142, CVE-2019-2143, CVE-2019-2144, CVE-2019-2145, CVE-2019-2146, CVE-2019-2147, CVE -2019-2148, CVE-2019-2149, CVE-2019-2150, CVE-2019-2151, CVE-2019-2152, CVE-2019-2153, CVE-2019-2154, CVE-2019-2155, CVE-2019 -2156, CVE-2019-2157, CVE-2019-2158, CVE-2019-2159, CVE-2019-2160, CVE-2019-2161, CVE-2019-2162, CVE-2019-2163, CVE-2019-2164 , CVE-2019-2165, CVE-2019-2166, CVE-2019-2167, CVE-2019-2168, CVE-2019-2169, CVE-2019-2170, CV E-2019-2171, CVE-2019-2172, CVE-2019-9261, CVE-2019-9264, CVE-2019-9385 e CVE-2019-9391.

Perguntas e respostas comuns

Esta seção responde a perguntas comuns que podem ocorrer após a leitura deste boletim.

1. Como determino se meu dispositivo está atualizado para resolver esses problemas?

Para saber como verificar o nível de patch de segurança de um dispositivo, consulte Verificar e atualizar sua versão do Android .

O Android 10, conforme lançado no AOSP, tem um nível de patch de segurança padrão de 01/09/2019. Os dispositivos Android que executam o Android 10 e com um nível de patch de segurança de 2019-09-01 ou posterior resolvem todos os problemas contidos nestas notas de versão de segurança.

2. O que significam as entradas na coluna Tipo ?
As entradas na coluna Tipo da tabela de detalhes da vulnerabilidade fazem referência à classificação da vulnerabilidade de segurança.

Abreviação Definição
RCE Execução remota de código
EoP Elevação de privilégio
identificação Divulgação de informação
DoS Negação de serviço
N / D Classificação não disponível

3. O que significam as entradas na coluna Referências ?

As entradas na coluna Referências da tabela de detalhes da vulnerabilidade podem conter um prefixo que identifica a organização à qual o valor de referência pertence.

Prefixo Referência
UMA- ID do bug do Android

Versões

Versão Encontro: Data Notas
1,0 20 de agosto de 2019 Notas de versão de segurança publicadas.
1.1 21 de agosto de 2019 Pequenos ajustes nas tabelas de vulnerabilidade
1.2 17 de setembro de 2019 Agradecimentos atualizados e lista de problemas
1.3 21 de novembro de 2019 Lista de problemas atualizada
1,4 12 de fevereiro de 2020 Lista de problemas atualizada
1,5 26 de fevereiro de 2020 Lista de problemas atualizada
1,6 11 de maio de 2020 Lista de problemas atualizada
1,7 11 de junho de 2020 Lista de problemas atualizada
1,8 27 de janeiro de 2021 Lista de problemas atualizada