Android 10 安全性版本資訊

發布日期:2019 年 8 月 20 日 | 更新日期:2021 年 1 月 27 日

這份 Android 安全性版本資訊列舉對 Android 裝置造成影響的安全性漏洞,並說明各項相關細節。這些漏洞已在 Android 10 中解決。使用 2019-09-01 之後的安全性修補程式等級的 Android 10 裝置不受這些問題影響 (在 Android 開放原始碼計畫中,Android 10 的預設安全性修補程式等級為 2019-09-01)。請參閱檢查及更新 Android 版本一文,瞭解如何查看裝置的安全性修補程式等級。

Android 的合作夥伴會提前收到公告中所有問題的相關通知。這些問題的原始碼修補程式將隨 Android 10 發布到 Android 開放原始碼計畫 (AOSP) 存放區。

版本資訊中所述漏洞的嚴重程度評定標準是假設平台與服務的因應防護措施基於開發作業的需求而遭關閉,或是遭到有心人士破解,然後推算當有人惡意運用漏洞時,使用者的裝置會受到多大的影響,據此評定漏洞的嚴重程度。

針對這些新發現的漏洞,我們目前尚未收到任何客戶回報相關的漏洞濫用案例。如果想進一步瞭解 Android 安全性平台防護措施和 Google Play 安全防護機制如何加強 Android 平台的安全性,請參閱 Android 和 Google Play 安全防護機制所提供的因應措施一節。

公告事項

  • 本文所述的漏洞已在 Android 10 中獲得解決。我們秉持資訊公開原則提供相關資訊,方便使用者參考。
  • 我們在此向安全性研究社群致謝,感謝他們對 Android 生態系統安全性的持續貢獻。

Android 和 Google 服務問題因應措施

本節概述 Android 安全性平台Google Play 安全防護等服務防護方案所提供的因應措施。這些措施可有效防範有心人士在 Android 系統上惡意運用安全性漏洞來達到特定目的。

  • Android 平台持續推出新的版本來強化安全性,因此有心人士越來越難在 Android 系統上找出漏洞加以利用。我們建議所有使用者盡可能更新至最新版的 Android。
  • Android 安全性團隊透過 Google Play 安全防護主動監控濫用情形;使用這些功能的目的是在發現可能有害的應用程式時警告使用者。在預設情況下,搭載 Google 行動服務的裝置會自動啟用 Google Play 安全防護機制。對於需要從 Google Play 以外的來源安裝應用程式的使用者來說,這項防護措施格外重要。

Android 10 - 資安漏洞詳情

下列各節針對已在 Android 10 中解決的安全漏洞提供了詳細資料,我們依照資安問題影響的元件將各項漏洞分門別類,並附上詳細資料,例如 CVE、相關參考資料、漏洞類型嚴重程度

Android 執行階段

CVE 參考資料 類型 嚴重程度
CVE-2019-9290 A-113039724 EoP
CVE-2019-9429 A-110035108 EoP

架構

CVE 參考資料 類型 嚴重程度
CVE-2019-9262 A-111792351 RCE
CVE-2019-9256 A-111921829 RCE
CVE-2019-9280 A-119322269 EoP
CVE-2019-2216 A-38390530 EoP
CVE-2019-2089 A-116608833 EoP
CVE-2019-9288 A-111363077 EoP
CVE-2019-9384 A-120568007 EoP
CVE-2019-9269 A-36899497 EoP
CVE-2019-9378 A-124539196 EoP
CVE-2019-9380 A-123700098 EoP
CVE-2019-9407 A-112434609 EoP
CVE-2019-2088 A-143895055 ID
CVE-2019-2058 A-136089102 ID
CVE-2019-9351 A-128599864 ID
CVE-2019-9281 A-32748076 ID
CVE-2019-9377 A-128599663 ID
CVE-2019-9292 A-115384617 ID
CVE-2019-9424 A-110941092 ID
CVE-2019-9399 A-115635664 ID
CVE-2019-9421 A-111215250 ID
CVE-2019-9323 A-30770233 ID
CVE-2019-9438 A-77821568 ID
CVE-2019-9373 A-130173029 DoS
CVE-2019-9372 A-132782448 DoS

程式庫

CVE 參考資料 類型 嚴重程度
CVE-2019-9423 A-110986616 EoP
CVE-2019-9459 A-79593569 EoP

媒體架構

CVE 參考資料 類型 嚴重程度
CVE-2019-9297 A-112890242 RCE
CVE-2019-9298 A-112892194 RCE
CVE-2019-9299 A-112663886 RCE
CVE-2019-9300 A-112661610 RCE
CVE-2019-9301 A-112663384 RCE
CVE-2019-9302 A-112661356 RCE
CVE-2019-9303 A-112661057 RCE
CVE-2019-9304 A-112662270 RCE
CVE-2019-9305 A-112661835 RCE
CVE-2019-9306 A-112661348 RCE
CVE-2019-9307 A-112661893 RCE
CVE-2019-9308 A-112661742 RCE
CVE-2019-9346 A-128433933 RCE
CVE-2019-9357 A-112662995 RCE
CVE-2019-9382 A-120874654 RCE
CVE-2019-9405 A-112890225 RCE
CVE-2019-9278 A-112537774 RCE
CVE-2020-0086 A-131859347 EoP
CVE-2019-9310 A-112891546 EoP
CVE-2019-9232 A-122675483 ID
CVE-2019-9247 A-120426166 ID
CVE-2019-9282 A-113211371 ID
CVE-2019-9293 A-117661116 ID
CVE-2019-9294 A-111764444 ID
CVE-2019-9313 A-112005441 ID
CVE-2019-9314 A-112329563 ID
CVE-2019-9315 A-112326216 ID
CVE-2019-9316 A-112052432 ID
CVE-2019-9317 A-112052258 ID
CVE-2019-9318 A-111764725 ID
CVE-2019-9319 A-111762100 ID
CVE-2019-9320 A-111761624 ID
CVE-2019-9321 A-111208713 ID
CVE-2019-9322 A-111128067 ID
CVE-2019-9325 A-112001302 ID
CVE-2019-9334 A-112859934 ID
CVE-2019-9335 A-112328051 ID
CVE-2019-9336 A-112326322 ID
CVE-2019-9337 A-112204376 ID
CVE-2019-9338 A-111762686 ID
CVE-2019-9347 A-109891727 ID
CVE-2019-9359 A-111407302 ID
CVE-2019-9361 A-111762807 ID
CVE-2019-9362 A-120426980 ID
CVE-2019-9364 A-73364631 ID
CVE-2019-9366 A-112052062 ID
CVE-2019-9370 A-133880046 ID
CVE-2019-9406 A-112552517 ID
CVE-2019-9408 A-112380157 ID
CVE-2019-9409 A-112272091 ID
CVE-2019-9410 A-112204443 ID
CVE-2019-9411 A-112204845 ID
CVE-2019-9412 A-112006096 ID
CVE-2019-9415 A-111805098 ID
CVE-2019-9416 A-111804142 ID
CVE-2019-9433 A-80479354 ID
CVE-2019-9252 A-73339042 ID
CVE-2019-9268 A-77474014 DoS
CVE-2020-0088 A-124389881 DoS
CVE-2019-9283 A-112663564 DoS
CVE-2019-9348 A-128431761 DoS
CVE-2019-9349 A-124330204 DoS
CVE-2019-9352 A-124253062 DoS
CVE-2019-9371 A-132783254 DoS
CVE-2019-9379 A-124329638 DoS
CVE-2019-9418 A-111450210 DoS
CVE-2019-9420 A-111272481 DoS

系統

CVE 參考資料 類型 嚴重程度
CVE-2019-9475 A-9496886 ID
CVE-2019-9363 A-123584306 RCE
CVE-2019-9365 A-109838537 RCE
CVE-2018-9425 A-73884967 EoP
CVE-2019-9463 A-113584607 EoP
CVE-2019-9291 A-112159179 EoP
CVE-2019-9386 A-122361874 EoP
CVE-2019-9375 A-129344244 EoP
CVE-2019-9238 A-121267042 EoP
CVE-2019-9257 A-113572342 EoP
CVE-2019-9258 A-113655028 EoP
CVE-2019-9259 A-113575306 EoP
CVE-2019-9263 A-73136824 EoP
CVE-2019-9266 A-119501435 EoP
CVE-2019-9295 A-36885811 EoP
CVE-2019-9309 A-117985575 EoP
CVE-2019-9350 A-129562815 EoP
CVE-2019-9358 A-120156401 EoP
CVE-2018-9489 A-77286245 ID
CVE-2019-9473 A-115363533 ID
CVE-2019-9474 A-79996267 ID
CVE-2019-9440 A-37637796 ID
CVE-2019-9277 A-68016944 ID
CVE-2019-9233 A-122529021 ID
CVE-2019-9234 A-122465453 ID
CVE-2019-9235 A-122323053 ID
CVE-2019-9236 A-122322613 ID
CVE-2019-9237 A-121325979 ID
CVE-2019-9239 A-121263487 ID
CVE-2019-9240 A-121150966 ID
CVE-2019-9241 A-121036603 ID
CVE-2019-9242 A-121035878 ID
CVE-2019-9243 A-120905706 ID
CVE-2019-9244 A-120865977 ID
CVE-2019-9246 A-120428637 ID
CVE-2019-9249 A-120255805 ID
CVE-2019-9250 A-120276962 ID
CVE-2019-9251 A-120274615 ID
CVE-2019-9253 A-109769728 ID
CVE-2019-9260 A-113495295 ID
CVE-2019-9265 A-37994606 ID
CVE-2019-9272 A-11596047 ID
CVE-2019-9284 A-111850706 ID
CVE-2019-9287 A-78287084 ID
CVE-2019-9289 A-79883824 ID
CVE-2018-9581 A-111698366 ID
CVE-2019-9296 A-112162089 ID
CVE-2019-9312 A-78288018 ID
CVE-2019-9326 A-111215173 ID
CVE-2019-9328 A-111895000 ID
CVE-2019-9329 A-112917952 ID
CVE-2019-9332 A-78286500 ID
CVE-2019-9333 A-109753657 ID
CVE-2019-9344 A-120845341 ID
CVE-2019-9353 A-123024201 ID
CVE-2019-9354 A-118148142 ID
CVE-2019-9355 A-115903122 ID
CVE-2019-9356 A-111699773 ID
CVE-2019-9360 A-120610663 ID
CVE-2019-9368 A-79883568 ID
CVE-2019-9369 A-79995407 ID
CVE-2019-9381 A-122677612 ID
CVE-2019-9383 A-120843827 ID
CVE-2019-9387 A-117569833 ID
CVE-2019-9388 A-117567437 ID
CVE-2019-9403 A-113512324 ID
CVE-2019-9414 A-111893041 ID
CVE-2019-9427 A-110166350 ID
CVE-2019-9431 A-109755179 ID
CVE-2019-9432 A-80546108 ID
CVE-2019-9434 A-80432895 ID
CVE-2019-9435 A-80146682 ID
CVE-2019-9330 A-111214739 ID
CVE-2019-9331 A-112272279 ID
CVE-2019-9341 A-111214770 ID
CVE-2019-9342 A-111214470 ID
CVE-2019-9343 A-112050983 ID
CVE-2019-9367 A-112106425 ID
CVE-2019-9413 A-111935831 ID
CVE-2019-9417 A-111450079 ID
CVE-2019-9419 A-111407544 ID
CVE-2019-9422 A-111214766 ID
CVE-2020-0236 A-79703353 ID
CVE-2019-9279 A-110476382 DoS
CVE-2019-9285 A-111215315 DoS
CVE-2019-9286 A-111213909 DoS
CVE-2019-9311 A-79431031 DoS
CVE-2019-9327 A-112050583 DoS
CVE-2019-9462 A-91544774 DoS
CVE-2019-9389 A-117567058 DoS
CVE-2019-9390 A-117551475 DoS
CVE-2019-9393 A-116357965 DoS
CVE-2019-9394 A-116351796 DoS
CVE-2019-9395 A-116267405 DoS
CVE-2019-9396 A-115747155 DoS
CVE-2019-9397 A-115747410 DoS
CVE-2019-9398 A-115745406 DoS
CVE-2019-9400 A-115509589 DoS
CVE-2019-9401 A-115375248 DoS
CVE-2019-9402 A-115372550 DoS
CVE-2019-9404 A-112923309 DoS
CVE-2019-9425 A-110846194 DoS
CVE-2019-9430 A-109838296 DoS

Libxaac

我們已將 Android 9 Libxaac 程式庫標示為實驗性程式庫,並且從 Android 正式版本中移除 (如 2018 年 11 月 Android 安全性公告所述)。我們要向相關研究人員的研究成果致謝。

上述問題包含下列 CVE ID:CVE-2019-2055、CVE-2019-2059、CVE-2019-2060、CVE-2019-2061、CVE-2019-2062、CVE-2019-2063、CVE-2019-2064、CVE-2019-2065、CVE-2019-2066、CVE-2019-2067、CVE-2019-2068、CVE-2019-2069、CVE-2019-2070、CVE-2019-2071、CVE-2019-2072、CVE-2019-2073、CVE-2019-2074、CVE-2019-2075、CVE-2019-2076、CVE-2019-2077、CVE-2019-2078、CVE-2019-2079、CVE-2019-2080、CVE-2019-2081、CVE-2019-2082、CVE-2019-2083、CVE-2019-2084、CVE-2019-2085、CVE-2019-2086、CVE-2019-2087、CVE-2019-2138、CVE-2019-2139、CVE-2019-2140、CVE-2019-2141、CVE-2019-2142、CVE-2019-2143、CVE-2019-2144、CVE-2019-2145、CVE-2019-2146、CVE-2019-2147、CVE-2019-2148、CVE-2019-2149、CVE-2019-2150、CVE-2019-2151、CVE-2019-2152、CVE-2019-2153、CVE-2019-2154、CVE-2019-2155、CVE-2019-2156、CVE-2019-2157、CVE-2019-2158、CVE-2019-2159、CVE-2019-2160、CVE-2019-2161、CVE-2019-2162、CVE-2019-2163、CVE-2019-2164、CVE-2019-2165、CVE-2019-2166、CVE-2019-2167、CVE-2019-2168、CVE-2019-2169、CVE-2019-2170、CVE-2019-2171、CVE-2019-2172、CVE-2019-9261、CVE-2019-9264、CVE-2019-9385 和 CVE-2019-9391。

常見問題與解答

如果您在閱讀這篇公告後有任何疑問,可參考本節的常見問答。

1. 如何判斷我目前的裝置軟體版本是否已修正這些問題?

請參閱檢查及更新 Android 版本一文,瞭解如何查看裝置的安全性修補程式等級。

透過 Android 開放原始碼計畫所發布 Android 10 的預設安全性修補程式等級為 2019-09-01。使用 2019-09-01 之後的安全性修補程式等級的 Android 10 裝置已解決了安全性版本資訊所述的所有問題。

2.「類型」欄中的項目代表什麼意義?
在安全漏洞詳情表格中,「類型」欄中的項目代表的是安全漏洞的類別。

縮寫 定義
RCE 遠端程式碼執行
EoP 權限升級
ID 資訊外洩
DoS 阻斷服務
未分類

3.「參考資料」欄底下列出的識別碼代表什麼意義?

資安漏洞詳情表格中「參考資料」欄底下的項目可能會包含一個前置字串,用以表示該參考資料值所屬的機構或公司。

前置字串 參考資料
A- Android 錯誤 ID

版本

版本 日期 附註
1.0 2019 年 8 月 20 日 發布安全性版本資訊。
1.1 2019 年 8 月 21 日 微幅調整安全漏洞表格。
1.2 2019 年 9 月 17 日 更新特別銘謝名單和問題清單。
1.3 2019 年 11 月 21 日 更新問題清單。
1.4 2020 年 2 月 12 日 更新問題清單。
1.5 2020 年 2 月 26 日 更新問題清單。
1.6 2020 年 5 月 11 日 更新問題清單。
1.7 2020 年 6 月 11 日 更新問題清單。
1.8 2021 年 1 月 27 日 更新問題清單。