Notes de version de sécurité d'Android 10

Publié le 20 août 2019 | Mis à jour le 27 janvier 2021

Ces notes de publication de sécurité Android contiennent des détails sur les vulnérabilités de sécurité affectant les appareils Android qui sont traitées dans le cadre d'Android 10. Les appareils Android 10 avec un niveau de correctif de sécurité de 2019-09-01 ou ultérieur sont protégés contre ces problèmes (Android 10, tel que publié le AOSP, a un niveau de correctif de sécurité par défaut de 2019-09-01). Pour savoir comment vérifier le niveau de correctif de sécurité d'un appareil, consultez Comment vérifier et mettre à jour votre version Android .

Les partenaires Android sont informés de tous les problèmes avant la publication. Les correctifs de code source pour ces problèmes seront publiés dans le référentiel Android Open Source Project (AOSP) dans le cadre de la version Android 10.

L' évaluation de la gravité des problèmes dans ces notes de version sont basées sur l'effet que l' exploitation de la vulnérabilité aurait peut - être sur un appareil affecté, en supposant que les atténuations de la plate - forme et de service sont désactivés à des fins de développement ou si contournés avec succès.

Nous n'avons eu aucun rapport d'exploitation ou d'abus actif de ces problèmes récemment signalés par des clients. Reportez - vous à l' Android et Google Play Protect atténuations section pour plus de détails sur les protections de la plate - forme de sécurité Android et Google Play Protect, qui améliore la sécurité de la plate - forme Android.

Annonces

  • Les problèmes décrits dans ce document sont traités dans le cadre d'Android 10. Ces informations sont fournies à titre de référence et de transparence.
  • Nous tenons à remercier la communauté de recherche sur la sécurité pour leurs contributions continues vers la sécurisation de l'écosystème Android.

Atténuations des services Android et Google

Ceci est un résumé des atténuations fournies par la plate - forme Android de sécurité et de protection de services tels que Google Play Protect . Ces capacités réduisent la probabilité que des failles de sécurité puissent être exploitées avec succès sur Android.

  • L'exploitation de nombreux problèmes sur Android est rendue plus difficile par les améliorations apportées aux nouvelles versions de la plate-forme Android. Nous encourageons tous les utilisateurs à mettre à jour vers la dernière version d'Android dans la mesure du possible.
  • L'équipe de sécurité Android surveille activement pour abus par Google Play Protect et met en garde contre les utilisateurs sur les applications potentiellement nuisibles . Google Play Protect est activé par défaut sur les appareils avec Google Mobile services , et il est particulièrement important pour les utilisateurs qui installent des applications à l' extérieur de Google Play.

Android 10—Détails de la vulnérabilité

Les sections ci - dessous détaillent les vulnérabilités de sécurité fixes dans le cadre d'Android 10. Les vulnérabilités sont regroupées sous la composante qu'ils touchent et comprennent des détails tels que le CVE, les références associées, type de vulnérabilité , et la gravité .

Environnement d'exécution Android

CVE Les références Taper Gravité
CVE-2019-9290 A-113039724 EoP Modérer
CVE-2019-9429 A-110035108 EoP Modérer

Cadre

CVE Les références Taper Gravité
CVE-2019-9262 A-111792351 CER Modérer
CVE-2019-9256 A-111921829 CER Modérer
CVE-2019-9280 A-119322269 EoP Modérer
CVE-2019-2216 A-38390530 EoP Modérer
CVE-2019-2089 A-116608833 EoP Modérer
CVE-2019-9288 A-111363077 EoP Modérer
CVE-2019-9384 A-120568007 EoP Modérer
CVE-2019-9269 A-36899497 EoP Modérer
CVE-2019-9378 A-124539196 EoP Modérer
CVE-2019-9380 A-123700098 EoP Modérer
CVE-2019-9407 A-112434609 EoP Modérer
CVE-2019-2088 A-143895055 identifiant Modérer
CVE-2019-2058 A-136089102 identifiant Modérer
CVE-2019-9351 A-128599864 identifiant Modérer
CVE-2019-9281 A-32748076 identifiant Modérer
CVE-2019-9377 A-128599663 identifiant Modérer
CVE-2019-9292 A-115384617 identifiant Modérer
CVE-2019-9424 A-110941092 identifiant Modérer
CVE-2019-9399 A-115635664 identifiant Modérer
CVE-2019-9421 A-111215250 identifiant Modérer
CVE-2019-9323 A-30770233 identifiant Modérer
CVE-2019-9438 A-77821568 identifiant Modérer
CVE-2019-9373 A-13073029 DoS Modérer
CVE-2019-9372 A-132782448 DoS Modérer

Une bibliothèque

CVE Les références Taper Gravité
CVE-2019-9423 A-110986616 EoP Modérer
CVE-2019-9459 A-79593569 EoP Modérer

Cadre médiatique

CVE Les références Taper Gravité
CVE-2019-9297 A-112890242 CER Modérer
CVE-2019-9298 A-112892194 CER Modérer
CVE-2019-9299 A-112663886 CER Modérer
CVE-2019-9300 A-112661610 CER Modérer
CVE-2019-9301 A-112663384 CER Modérer
CVE-2019-9302 A-112661356 CER Modérer
CVE-2019-9303 A-112661057 CER Modérer
CVE-2019-9304 A-112662270 CER Modérer
CVE-2019-9305 A-112661835 CER Modérer
CVE-2019-9306 A-112661348 CER Modérer
CVE-2019-9307 A-112661893 CER Modérer
CVE-2019-9308 A-112661742 CER Modérer
CVE-2019-9346 A-128433933 CER Modérer
CVE-2019-9357 A-112662995 CER Modérer
CVE-2019-9382 A-120874654 CER Modérer
CVE-2019-9405 A-112890225 CER Modérer
CVE-2019-9278 A-112537774 CER Modérer
CVE-2020-0086 A-131859347 EoP Modérer
CVE-2019-9310 A-112891546 EoP Modérer
CVE-2019-9232 A-122675483 identifiant Modérer
CVE-2019-9247 A-120426166 identifiant Modérer
CVE-2019-9282 A-113211371 identifiant Modérer
CVE-2019-9293 A-117661116 identifiant Modérer
CVE-2019-9294 A-111764444 identifiant Modérer
CVE-2019-9313 A-112005441 identifiant Modérer
CVE-2019-9314 A-112329563 identifiant Modérer
CVE-2019-9315 A-112326216 identifiant Modérer
CVE-2019-9316 A-112052432 identifiant Modérer
CVE-2019-9317 A-112052258 identifiant Modérer
CVE-2019-9318 A-111764725 identifiant Modérer
CVE-2019-9319 A-111762100 identifiant Modérer
CVE-2019-9320 A-111761624 identifiant Modérer
CVE-2019-9321 A-111208713 identifiant Modérer
CVE-2019-9322 A-111128067 identifiant Modérer
CVE-2019-9325 A-112001302 identifiant Modérer
CVE-2019-9334 A-112859934 identifiant Modérer
CVE-2019-9335 A-112328051 identifiant Modérer
CVE-2019-9336 A-112326322 identifiant Modérer
CVE-2019-9337 A-112204376 identifiant Modérer
CVE-2019-9338 A-111762686 identifiant Modérer
CVE-2019-9347 A-109891727 identifiant Modérer
CVE-2019-9359 A-111407302 identifiant Modérer
CVE-2019-9361 A-111762807 identifiant Modérer
CVE-2019-9362 A-120426980 identifiant Modérer
CVE-2019-9364 A-73364631 identifiant Modérer
CVE-2019-9366 A-112052062 identifiant Modérer
CVE-2019-9370 A-133880046 identifiant Modérer
CVE-2019-9406 A-112552517 identifiant Modérer
CVE-2019-9408 A-112380157 identifiant Modérer
CVE-2019-9409 A-112272091 identifiant Modérer
CVE-2019-9410 A-112204443 identifiant Modérer
CVE-2019-9411 A-112204845 identifiant Modérer
CVE-2019-9412 A-112006096 identifiant Modérer
CVE-2019-9415 A-111805098 identifiant Modérer
CVE-2019-9416 A-111804142 identifiant Modérer
CVE-2019-9433 A-80479354 identifiant Modérer
CVE-2019-9252 A-73339042 identifiant Modérer
CVE-2019-9268 A-77474014 DoS Modérer
CVE-2020-0088 A-124389881 DoS Modérer
CVE-2019-9283 A-112663564 DoS Modérer
CVE-2019-9348 A-128431761 DoS Modérer
CVE-2019-9349 A-124330204 DoS Modérer
CVE-2019-9352 A-124253062 DoS Modérer
CVE-2019-9371 A-132783254 DoS Modérer
CVE-2019-9379 A-124329638 DoS Modérer
CVE-2019-9418 A-111450210 DoS Modérer
CVE-2019-9420 A-111272481 DoS Modérer

Système

CVE Les références Taper Gravité
CVE-2019-9475 A-9496886 identifiant Haute
CVE-2019-9363 A-123584306 CER Modérer
CVE-2019-9365 A-109838537 CER Modérer
CVE-2018-9425 A-73884967 EoP Modérer
CVE-2019-9463 A-113584607 EoP Modérer
CVE-2019-9291 A-112159179 EoP Modérer
CVE-2019-9386 A-122361874 EoP Modérer
CVE-2019-9375 A-129344244 EoP Modérer
CVE-2019-9238 A-121267042 EoP Modérer
CVE-2019-9257 A-113572342 EoP Modérer
CVE-2019-9258 A-113655028 EoP Modérer
CVE-2019-9259 A-113575306 EoP Modérer
CVE-2019-9263 A-73136824 EoP Modérer
CVE-2019-9266 A-119501435 EoP Modérer
CVE-2019-9295 A-36885811 EoP Modérer
CVE-2019-9309 A-117985575 EoP Modérer
CVE-2019-9350 A-129562815 EoP Modérer
CVE-2019-9358 A-120156401 EoP Modérer
CVE-2018-9489 A-77286245 identifiant Modérer
CVE-2019-9473 A-115363533 identifiant Modérer
CVE-2019-9474 A-79996267 identifiant Modérer
CVE-2019-9440 A-37637796 identifiant Modérer
CVE-2019-9277 A-68016944 identifiant Modérer
CVE-2019-9233 A-122529021 identifiant Modérer
CVE-2019-9234 A-122465453 identifiant Modérer
CVE-2019-9235 A-122323053 identifiant Modérer
CVE-2019-9236 A-122322613 identifiant Modérer
CVE-2019-9237 A-121325979 identifiant Modérer
CVE-2019-9239 A-121263487 identifiant Modérer
CVE-2019-9240 A-121150966 identifiant Modérer
CVE-2019-9241 A-121036603 identifiant Modérer
CVE-2019-9242 A-121035878 identifiant Modérer
CVE-2019-9243 A-120905706 identifiant Modérer
CVE-2019-9244 A-120865977 identifiant Modérer
CVE-2019-9246 A-120428637 identifiant Modérer
CVE-2019-9249 A-120255805 identifiant Modérer
CVE-2019-9250 A-120276962 identifiant Modérer
CVE-2019-9251 A-120274615 identifiant Modérer
CVE-2019-9253 A-109769728 identifiant Modérer
CVE-2019-9260 A-113495295 identifiant Modérer
CVE-2019-9265 A-37994606 identifiant Modérer
CVE-2019-9272 A-11596047 identifiant Modérer
CVE-2019-9284 A-111850706 identifiant Modérer
CVE-2019-9287 A-78287084 identifiant Modérer
CVE-2019-9289 A-79883824 identifiant Modérer
CVE-2018-9581 A-111698366 identifiant Modérer
CVE-2019-9296 A-112162089 identifiant Modérer
CVE-2019-9312 A-78288018 identifiant Modérer
CVE-2019-9326 A-111215173 identifiant Modérer
CVE-2019-9328 A-111895000 identifiant Modérer
CVE-2019-9329 A-112917952 identifiant Modérer
CVE-2019-9332 A-78286500 identifiant Modérer
CVE-2019-9333 A-109753657 identifiant Modérer
CVE-2019-9344 A-120845341 identifiant Modérer
CVE-2019-9353 A-123024201 identifiant Modérer
CVE-2019-9354 A-118148142 identifiant Modérer
CVE-2019-9355 A-115903122 identifiant Modérer
CVE-2019-9356 A-111699773 identifiant Modérer
CVE-2019-9360 A-120610663 identifiant Modérer
CVE-2019-9368 A-79883568 identifiant Modérer
CVE-2019-9369 A-79995407 identifiant Modérer
CVE-2019-9381 A-122677612 identifiant Modérer
CVE-2019-9383 A-120843827 identifiant Modérer
CVE-2019-9387 A-117569833 identifiant Modérer
CVE-2019-9388 A-117567437 identifiant Modérer
CVE-2019-9403 A-113512324 identifiant Modérer
CVE-2019-9414 A-111893041 identifiant Modérer
CVE-2019-9427 A-110166350 identifiant Modérer
CVE-2019-9431 A-109755179 identifiant Modérer
CVE-2019-9432 A-80546108 identifiant Modérer
CVE-2019-9434 A-80432895 identifiant Modérer
CVE-2019-9435 A-80146682 identifiant Modérer
CVE-2019-9330 A-111214739 identifiant Modérer
CVE-2019-9331 A-112272279 identifiant Modérer
CVE-2019-9341 A-111214770 identifiant Modérer
CVE-2019-9342 A-111214470 identifiant Modérer
CVE-2019-9343 A-112050983 identifiant Modérer
CVE-2019-9367 A-112106425 identifiant Modérer
CVE-2019-9413 A-111935831 identifiant Modérer
CVE-2019-9417 A-111450079 identifiant Modérer
CVE-2019-9419 A-111407544 identifiant Modérer
CVE-2019-9422 A-111214766 identifiant Modérer
CVE-2020-0236 A-79703353 identifiant Modérer
CVE-2019-9279 A-110476382 DoS Modérer
CVE-2019-9285 A-111215315 DoS Modérer
CVE-2019-9286 A-111213909 DoS Modérer
CVE-2019-9311 A-79431031 DoS Modérer
CVE-2019-9327 A-112050583 DoS Modérer
CVE-2019-9462 A-91544774 DoS Modérer
CVE-2019-9389 A-117567058 DoS Modérer
CVE-2019-9390 A-117551475 DoS Modérer
CVE-2019-9393 A-116357965 DoS Modérer
CVE-2019-9394 A-116351796 DoS Modérer
CVE-2019-9395 A-116267405 DoS Modérer
CVE-2019-9396 A-115747155 DoS Modérer
CVE-2019-9397 A-115747410 DoS Modérer
CVE-2019-9398 A-115745406 DoS Modérer
CVE-2019-9400 A-115509589 DoS Modérer
CVE-2019-9401 A-115375248 DoS Modérer
CVE-2019-9402 A-115372550 DoS Modérer
CVE-2019-9404 A-112923309 DoS Modérer
CVE-2019-9425 A-110846194 DoS Modérer
CVE-2019-9430 A-109838296 DoS Modérer

Libxaac

La bibliothèque libxaac Android 9 a été marqué comme expérimental et retiré de la production Android construit dans le cadre du Novembre 2018 Android Bulletin de sécurité . Nous tenons à remercier les chercheurs pour leurs découvertes.

Les problèmes identifiés incluent les ID CVE suivants : CVE-2019-2055, CVE-2019-2059, CVE-2019-2060, CVE-2019-2061, CVE-2019-2062, CVE-2019-2063, CVE-2019-2064 , CVE-2019-2065, CVE-2019-2066, CVE-2019-2067, CVE-2019-2068, CVE-2019-2069, CVE-2019-2070, CVE-2019-2071, CVE-2019-2072, CVE -2019-2073, CVE-2019-2074, CVE-2019-2075, CVE-2019-2076, CVE-2019-2077, CVE-2019-2078, CVE-2019-2079, CVE-2019-2080, CVE-2019 -2081, CVE-2019-2082, CVE-2019-2083, CVE-2019-2084, CVE-2019-2085, CVE-2019-2086, CVE-2019-2087, CVE-2019-2138, CVE-2019-2139 , CVE-2019-2140, CVE-2019-2141, CVE-2019-2142, CVE-2019-2143, CVE-2019-2144, CVE-2019-2145, CVE-2019-2146, CVE-2019-2147, CVE -2019-2148, CVE-2019-2149, CVE-2019-2150, CVE-2019-2151, CVE-2019-2152, CVE-2019-2153, CVE-2019-2154, CVE-2019-2155, CVE-2019 -2156, CVE-2019-2157, CVE-2019-2158, CVE-2019-2159, CVE-2019-2160, CVE-2019-2161, CVE-2019-2162, CVE-2019-2163, CVE-2019-2164 , CVE-2019-2165, CVE-2019-2166, CVE-2019-2167, CVE-2019-2168, CVE-2019-2169, CVE-2019-2170, CV E-2019-2171, CVE-2019-2172, CVE-2019-9261, CVE-2019-9264, CVE-2019-9385 et CVE-2019-9391.

Questions et réponses courantes

Cette section répond aux questions courantes qui peuvent survenir après la lecture de ce bulletin.

1. Comment puis-je déterminer si mon appareil est mis à jour pour résoudre ces problèmes ?

Pour savoir comment vérifier le niveau de correctif de sécurité d'un appareil, voir Vérifier et mettre à jour votre version Android .

Android 10, tel que publié sur AOSP, a un niveau de correctif de sécurité par défaut de 2019-09-01. Les appareils Android exécutant Android 10 et avec un niveau de correctif de sécurité de 2019-09-01 ou ultérieur résolvent tous les problèmes contenus dans ces notes de version de sécurité.

2. Qu'est-ce que les entrées dans la colonne de type moyenne?
Les entrées dans la colonne Type de la vulnérabilité Référence tableau de la classification de la vulnérabilité de sécurité.

Abréviation Définition
CER Exécution de code à distance
EoP Élévation de privilège
identifiant Divulgation d'information
DoS Déni de service
N / A Classement non disponible

3. Qu'est-ce que les entrées dans la colonne Références moyenne?

Entrées dans la colonne Références du tableau des détails de la vulnérabilité peuvent contenir un préfixe identifiant l'organisation à laquelle la valeur de référence appartient.

Préfixe Référence
UNE- ID de bogue Android

Versions

Version Date Remarques
1,0 20 août 2019 Notes de version de sécurité publiées.
1.1 21 août 2019 Ajustements mineurs aux tableaux de vulnérabilité
1.2 17 septembre 2019 Remerciements et liste des problèmes mis à jour
1.3 21 novembre 2019 Liste des problèmes mise à jour
1.4 12 février 2020 Liste des problèmes mise à jour
1.5 26 février 2020 Liste des problèmes mise à jour
1.6 11 mai 2020 Liste des problèmes mise à jour
1.7 11 juin 2020 Liste des problèmes mise à jour
1,8 27 janvier 2021 Liste des problèmes mise à jour