Notes de version de sécurité d'Android 10

Publié le 20 août 2019 | Mis à jour le 27 janvier 2021

Ces notes de version de sécurité Android contiennent des détails sur les vulnérabilités de sécurité affectant les appareils Android qui sont corrigées dans le cadre d'Android 10. Les appareils Android 10 avec un niveau de correctif de sécurité du 01/09/2019 ou version ultérieure sont protégés contre ces problèmes (Android 10, tel que publié le AOSP, a un niveau de correctif de sécurité par défaut du 01/09/2019). Pour savoir comment vérifier le niveau du correctif de sécurité d'un appareil, consultez Comment vérifier et mettre à jour votre version Android .

Les partenaires Android sont informés de tous les problèmes avant leur publication. Les correctifs de code source pour ces problèmes seront publiés dans le référentiel Android Open Source Project (AOSP) dans le cadre de la version Android 10.

L' évaluation de la gravité des problèmes dans ces notes de version est basée sur l'effet que l'exploitation de la vulnérabilité pourrait avoir sur un appareil affecté, en supposant que les atténuations de la plate-forme et du service soient désactivées à des fins de développement ou si elles sont contournées avec succès.

Nous n'avons reçu aucun rapport faisant état d'une exploitation ou d'un abus actif de la part de nos clients concernant ces problèmes récemment signalés. Reportez-vous à la section Atténuations d'Android et de Google Play Protect pour plus de détails sur les protections de la plateforme de sécurité Android et sur Google Play Protect, qui améliorent la sécurité de la plateforme Android.

Annonces

  • Les problèmes décrits dans ce document sont résolus dans le cadre d'Android 10. Ces informations sont fournies à titre de référence et de transparence.
  • Nous souhaitons reconnaître et remercier la communauté de recherche en sécurité pour ses contributions continues à la sécurisation de l'écosystème Android.

Atténuations des services Android et Google

Ceci est un résumé des mesures d'atténuation fournies par la plate-forme de sécurité Android et les protections de services telles que Google Play Protect . Ces fonctionnalités réduisent la probabilité que les failles de sécurité soient exploitées avec succès sur Android.

  • L'exploitation de nombreux problèmes sur Android est rendue plus difficile par les améliorations apportées aux versions les plus récentes de la plate-forme Android. Nous encourageons tous les utilisateurs à mettre à jour vers la dernière version d'Android lorsque cela est possible.
  • L'équipe de sécurité Android surveille activement les abus via Google Play Protect et avertit les utilisateurs des applications potentiellement dangereuses . Google Play Protect est activé par défaut sur les appareils dotés des services mobiles Google et est particulièrement important pour les utilisateurs qui installent des applications en dehors de Google Play.

Android 10 : détails de la vulnérabilité

Les sections ci-dessous fournissent des détails sur les vulnérabilités de sécurité corrigées dans le cadre d'Android 10. Les vulnérabilités sont regroupées sous le composant qu'elles affectent et incluent des détails tels que le CVE, les références associées, le type de vulnérabilité et la gravité .

Exécution Android

CVE Les références Taper Gravité
CVE-2019-9290 A-113039724 EoP Modéré
CVE-2019-9429 A-110035108 EoP Modéré

Cadre

CVE Les références Taper Gravité
CVE-2019-9262 A-111792351 RCE Modéré
CVE-2019-9256 A-111921829 RCE Modéré
CVE-2019-9280 A-119322269 EoP Modéré
CVE-2019-2216 A-38390530 EoP Modéré
CVE-2019-2089 A-116608833 EoP Modéré
CVE-2019-9288 A-111363077 EoP Modéré
CVE-2019-9384 A-120568007 EoP Modéré
CVE-2019-9269 A-36899497 EoP Modéré
CVE-2019-9378 A-124539196 EoP Modéré
CVE-2019-9380 A-123700098 EoP Modéré
CVE-2019-9407 A-112434609 EoP Modéré
CVE-2019-2088 A-143895055 IDENTIFIANT Modéré
CVE-2019-2058 A-136089102 IDENTIFIANT Modéré
CVE-2019-9351 A-128599864 IDENTIFIANT Modéré
CVE-2019-9281 A-32748076 IDENTIFIANT Modéré
CVE-2019-9377 A-128599663 IDENTIFIANT Modéré
CVE-2019-9292 A-115384617 IDENTIFIANT Modéré
CVE-2019-9424 A-110941092 IDENTIFIANT Modéré
CVE-2019-9399 A-115635664 IDENTIFIANT Modéré
CVE-2019-9421 A-111215250 IDENTIFIANT Modéré
CVE-2019-9323 A-30770233 IDENTIFIANT Modéré
CVE-2019-9438 A-77821568 IDENTIFIANT Modéré
CVE-2019-9373 A-130173029 DoS Modéré
CVE-2019-9372 A-132782448 DoS Modéré

Bibliothèque

CVE Les références Taper Gravité
CVE-2019-9423 A-110986616 EoP Modéré
CVE-2019-9459 A-79593569 EoP Modéré

Cadre médiatique

CVE Les références Taper Gravité
CVE-2019-9297 A-112890242 RCE Modéré
CVE-2019-9298 A-112892194 RCE Modéré
CVE-2019-9299 A-112663886 RCE Modéré
CVE-2019-9300 A-112661610 RCE Modéré
CVE-2019-9301 A-112663384 RCE Modéré
CVE-2019-9302 A-112661356 RCE Modéré
CVE-2019-9303 A-112661057 RCE Modéré
CVE-2019-9304 A-112662270 RCE Modéré
CVE-2019-9305 A-112661835 RCE Modéré
CVE-2019-9306 A-112661348 RCE Modéré
CVE-2019-9307 A-112661893 RCE Modéré
CVE-2019-9308 A-112661742 RCE Modéré
CVE-2019-9346 A-128433933 RCE Modéré
CVE-2019-9357 A-112662995 RCE Modéré
CVE-2019-9382 A-120874654 RCE Modéré
CVE-2019-9405 A-112890225 RCE Modéré
CVE-2019-9278 A-112537774 RCE Modéré
CVE-2020-0086 A-131859347 EoP Modéré
CVE-2019-9310 A-112891546 EoP Modéré
CVE-2019-9232 A-122675483 IDENTIFIANT Modéré
CVE-2019-9247 A-120426166 IDENTIFIANT Modéré
CVE-2019-9282 A-113211371 IDENTIFIANT Modéré
CVE-2019-9293 A-117661116 IDENTIFIANT Modéré
CVE-2019-9294 A-111764444 IDENTIFIANT Modéré
CVE-2019-9313 A-112005441 IDENTIFIANT Modéré
CVE-2019-9314 A-112329563 IDENTIFIANT Modéré
CVE-2019-9315 A-112326216 IDENTIFIANT Modéré
CVE-2019-9316 A-112052432 IDENTIFIANT Modéré
CVE-2019-9317 A-112052258 IDENTIFIANT Modéré
CVE-2019-9318 A-111764725 IDENTIFIANT Modéré
CVE-2019-9319 A-111762100 IDENTIFIANT Modéré
CVE-2019-9320 A-111761624 IDENTIFIANT Modéré
CVE-2019-9321 A-111208713 IDENTIFIANT Modéré
CVE-2019-9322 A-111128067 IDENTIFIANT Modéré
CVE-2019-9325 A-112001302 IDENTIFIANT Modéré
CVE-2019-9334 A-112859934 IDENTIFIANT Modéré
CVE-2019-9335 A-112328051 IDENTIFIANT Modéré
CVE-2019-9336 A-112326322 IDENTIFIANT Modéré
CVE-2019-9337 A-112204376 IDENTIFIANT Modéré
CVE-2019-9338 A-111762686 IDENTIFIANT Modéré
CVE-2019-9347 A-109891727 IDENTIFIANT Modéré
CVE-2019-9359 A-111407302 IDENTIFIANT Modéré
CVE-2019-9361 A-111762807 IDENTIFIANT Modéré
CVE-2019-9362 A-120426980 IDENTIFIANT Modéré
CVE-2019-9364 A-73364631 IDENTIFIANT Modéré
CVE-2019-9366 A-112052062 IDENTIFIANT Modéré
CVE-2019-9370 A-133880046 IDENTIFIANT Modéré
CVE-2019-9406 A-112552517 IDENTIFIANT Modéré
CVE-2019-9408 A-112380157 IDENTIFIANT Modéré
CVE-2019-9409 A-112272091 IDENTIFIANT Modéré
CVE-2019-9410 A-112204443 IDENTIFIANT Modéré
CVE-2019-9411 A-112204845 IDENTIFIANT Modéré
CVE-2019-9412 A-112006096 IDENTIFIANT Modéré
CVE-2019-9415 A-111805098 IDENTIFIANT Modéré
CVE-2019-9416 A-111804142 IDENTIFIANT Modéré
CVE-2019-9433 A-80479354 IDENTIFIANT Modéré
CVE-2019-9252 A-73339042 IDENTIFIANT Modéré
CVE-2019-9268 A-77474014 DoS Modéré
CVE-2020-0088 A-124389881 DoS Modéré
CVE-2019-9283 A-112663564 DoS Modéré
CVE-2019-9348 A-128431761 DoS Modéré
CVE-2019-9349 A-124330204 DoS Modéré
CVE-2019-9352 A-124253062 DoS Modéré
CVE-2019-9371 A-132783254 DoS Modéré
CVE-2019-9379 A-124329638 DoS Modéré
CVE-2019-9418 A-111450210 DoS Modéré
CVE-2019-9420 A-111272481 DoS Modéré

Système

CVE Les références Taper Gravité
CVE-2019-9475 A-9496886 IDENTIFIANT Haut
CVE-2019-9363 A-123584306 RCE Modéré
CVE-2019-9365 A-109838537 RCE Modéré
CVE-2018-9425 A-73884967 EoP Modéré
CVE-2019-9463 A-113584607 EoP Modéré
CVE-2019-9291 A-112159179 EoP Modéré
CVE-2019-9386 A-122361874 EoP Modéré
CVE-2019-9375 A-129344244 EoP Modéré
CVE-2019-9238 A-121267042 EoP Modéré
CVE-2019-9257 A-113572342 EoP Modéré
CVE-2019-9258 A-113655028 EoP Modéré
CVE-2019-9259 A-113575306 EoP Modéré
CVE-2019-9263 A-73136824 EoP Modéré
CVE-2019-9266 A-119501435 EoP Modéré
CVE-2019-9295 A-36885811 EoP Modéré
CVE-2019-9309 A-117985575 EoP Modéré
CVE-2019-9350 A-129562815 EoP Modéré
CVE-2019-9358 A-120156401 EoP Modéré
CVE-2018-9489 A-77286245 IDENTIFIANT Modéré
CVE-2019-9473 A-115363533 IDENTIFIANT Modéré
CVE-2019-9474 A-79996267 IDENTIFIANT Modéré
CVE-2019-9440 A-37637796 IDENTIFIANT Modéré
CVE-2019-9277 A-68016944 IDENTIFIANT Modéré
CVE-2019-9233 A-122529021 IDENTIFIANT Modéré
CVE-2019-9234 A-122465453 IDENTIFIANT Modéré
CVE-2019-9235 A-122323053 IDENTIFIANT Modéré
CVE-2019-9236 A-122322613 IDENTIFIANT Modéré
CVE-2019-9237 A-121325979 IDENTIFIANT Modéré
CVE-2019-9239 A-121263487 IDENTIFIANT Modéré
CVE-2019-9240 A-121150966 IDENTIFIANT Modéré
CVE-2019-9241 A-121036603 IDENTIFIANT Modéré
CVE-2019-9242 A-121035878 IDENTIFIANT Modéré
CVE-2019-9243 A-120905706 IDENTIFIANT Modéré
CVE-2019-9244 A-120865977 IDENTIFIANT Modéré
CVE-2019-9246 A-120428637 IDENTIFIANT Modéré
CVE-2019-9249 A-120255805 IDENTIFIANT Modéré
CVE-2019-9250 A-120276962 IDENTIFIANT Modéré
CVE-2019-9251 A-120274615 IDENTIFIANT Modéré
CVE-2019-9253 A-109769728 IDENTIFIANT Modéré
CVE-2019-9260 A-113495295 IDENTIFIANT Modéré
CVE-2019-9265 A-37994606 IDENTIFIANT Modéré
CVE-2019-9272 A-11596047 IDENTIFIANT Modéré
CVE-2019-9284 A-111850706 IDENTIFIANT Modéré
CVE-2019-9287 A-78287084 IDENTIFIANT Modéré
CVE-2019-9289 A-79883824 IDENTIFIANT Modéré
CVE-2018-9581 A-111698366 IDENTIFIANT Modéré
CVE-2019-9296 A-112162089 IDENTIFIANT Modéré
CVE-2019-9312 A-78288018 IDENTIFIANT Modéré
CVE-2019-9326 A-111215173 IDENTIFIANT Modéré
CVE-2019-9328 A-111895000 IDENTIFIANT Modéré
CVE-2019-9329 A-112917952 IDENTIFIANT Modéré
CVE-2019-9332 A-78286500 IDENTIFIANT Modéré
CVE-2019-9333 A-109753657 IDENTIFIANT Modéré
CVE-2019-9344 A-120845341 IDENTIFIANT Modéré
CVE-2019-9353 A-123024201 IDENTIFIANT Modéré
CVE-2019-9354 A-118148142 IDENTIFIANT Modéré
CVE-2019-9355 A-115903122 IDENTIFIANT Modéré
CVE-2019-9356 A-111699773 IDENTIFIANT Modéré
CVE-2019-9360 A-120610663 IDENTIFIANT Modéré
CVE-2019-9368 A-79883568 IDENTIFIANT Modéré
CVE-2019-9369 A-79995407 IDENTIFIANT Modéré
CVE-2019-9381 A-122677612 IDENTIFIANT Modéré
CVE-2019-9383 A-120843827 IDENTIFIANT Modéré
CVE-2019-9387 A-117569833 IDENTIFIANT Modéré
CVE-2019-9388 A-117567437 IDENTIFIANT Modéré
CVE-2019-9403 A-113512324 IDENTIFIANT Modéré
CVE-2019-9414 A-111893041 IDENTIFIANT Modéré
CVE-2019-9427 A-110166350 IDENTIFIANT Modéré
CVE-2019-9431 A-109755179 IDENTIFIANT Modéré
CVE-2019-9432 A-80546108 IDENTIFIANT Modéré
CVE-2019-9434 A-80432895 IDENTIFIANT Modéré
CVE-2019-9435 A-80146682 IDENTIFIANT Modéré
CVE-2019-9330 A-111214739 IDENTIFIANT Modéré
CVE-2019-9331 A-112272279 IDENTIFIANT Modéré
CVE-2019-9341 A-111214770 IDENTIFIANT Modéré
CVE-2019-9342 A-111214470 IDENTIFIANT Modéré
CVE-2019-9343 A-112050983 IDENTIFIANT Modéré
CVE-2019-9367 A-112106425 IDENTIFIANT Modéré
CVE-2019-9413 A-111935831 IDENTIFIANT Modéré
CVE-2019-9417 A-111450079 IDENTIFIANT Modéré
CVE-2019-9419 A-111407544 IDENTIFIANT Modéré
CVE-2019-9422 A-111214766 IDENTIFIANT Modéré
CVE-2020-0236 A-79703353 IDENTIFIANT Modéré
CVE-2019-9279 A-110476382 DoS Modéré
CVE-2019-9285 A-111215315 DoS Modéré
CVE-2019-9286 A-111213909 DoS Modéré
CVE-2019-9311 A-79431031 DoS Modéré
CVE-2019-9327 A-112050583 DoS Modéré
CVE-2019-9462 A-91544774 DoS Modéré
CVE-2019-9389 A-117567058 DoS Modéré
CVE-2019-9390 A-117551475 DoS Modéré
CVE-2019-9393 A-116357965 DoS Modéré
CVE-2019-9394 A-116351796 DoS Modéré
CVE-2019-9395 A-116267405 DoS Modéré
CVE-2019-9396 A-115747155 DoS Modéré
CVE-2019-9397 A-115747410 DoS Modéré
CVE-2019-9398 A-115745406 DoS Modéré
CVE-2019-9400 A-115509589 DoS Modéré
CVE-2019-9401 A-115375248 DoS Modéré
CVE-2019-9402 A-115372550 DoS Modéré
CVE-2019-9404 A-112923309 DoS Modéré
CVE-2019-9425 A-110846194 DoS Modéré
CVE-2019-9430 A-109838296 DoS Modéré

Libxaac

La bibliothèque Android 9 libxaac a été marquée comme expérimentale et supprimée des versions Android de production dans le cadre du bulletin de sécurité Android de novembre 2018 . Nous tenons à remercier les chercheurs pour leurs découvertes.

Les problèmes identifiés incluent les identifiants CVE suivants : CVE-2019-2055, CVE-2019-2059, CVE-2019-2060, CVE-2019-2061, CVE-2019-2062, CVE-2019-2063, CVE-2019-2064. , CVE-2019-2065, CVE-2019-2066, CVE-2019-2067, CVE-2019-2068, CVE-2019-2069, CVE-2019-2070, CVE-2019-2071, CVE-2019-2072, CVE -2019-2073, CVE-2019-2074, CVE-2019-2075, CVE-2019-2076, CVE-2019-2077, CVE-2019-2078, CVE-2019-2079, CVE-2019-2080, CVE-2019 -2081, CVE-2019-2082, CVE-2019-2083, CVE-2019-2084, CVE-2019-2085, CVE-2019-2086, CVE-2019-2087, CVE-2019-2138, CVE-2019-2139 , CVE-2019-2140, CVE-2019-2141, CVE-2019-2142, CVE-2019-2143, CVE-2019-2144, CVE-2019-2145, CVE-2019-2146, CVE-2019-2147, CVE -2019-2148, CVE-2019-2149, CVE-2019-2150, CVE-2019-2151, CVE-2019-2152, CVE-2019-2153, CVE-2019-2154, CVE-2019-2155, CVE-2019 -2156, CVE-2019-2157, CVE-2019-2158, CVE-2019-2159, CVE-2019-2160, CVE-2019-2161, CVE-2019-2162, CVE-2019-2163, CVE-2019-2164 , CVE-2019-2165, CVE-2019-2166, CVE-2019-2167, CVE-2019-2168, CVE-2019-2169, CVE-2019-2170, CVE-2019-2171, CVE-2019-2172, CVE -2019-9261, CVE-2019-9264, CVE-2019-9385 et CVE-2019-9391.

Questions et réponses courantes

Cette section répond aux questions courantes qui peuvent survenir après la lecture de ce bulletin.

1. Comment puis-je déterminer si mon appareil est mis à jour pour résoudre ces problèmes ?

Pour savoir comment vérifier le niveau du correctif de sécurité d'un appareil, consultez Vérifier et mettre à jour votre version Android .

Android 10, tel que publié sur AOSP, a un niveau de correctif de sécurité par défaut du 01/09/2019. Les appareils Android exécutant Android 10 et dotés d'un niveau de correctif de sécurité de 2019-09-01 ou version ultérieure résolvent tous les problèmes contenus dans ces notes de version de sécurité.

2. Que signifient les entrées dans la colonne Type ?
Les entrées dans la colonne Type du tableau des détails de la vulnérabilité font référence à la classification de la vulnérabilité de sécurité.

Abréviation Définition
RCE Exécution de code à distance
EoP Élévation de privilège
IDENTIFIANT Divulgation d'information
DoS Déni de service
N / A Classement non disponible

3. Que signifient les entrées dans la colonne Références ?

Les entrées sous la colonne Références du tableau des détails de la vulnérabilité peuvent contenir un préfixe identifiant l'organisation à laquelle appartient la valeur de référence.

Préfixe Référence
UN- ID de bogue Android

Versions

Version Date Remarques
1.0 20 août 2019 Notes de version de sécurité publiées.
1.1 21 août 2019 Ajustements mineurs aux tableaux de vulnérabilité
1.2 17 septembre 2019 Remerciements et liste de problèmes mis à jour
1.3 21 novembre 2019 Liste des problèmes mise à jour
1.4 12 février 2020 Liste des problèmes mise à jour
1,5 26 février 2020 Liste des problèmes mise à jour
1.6 11 mai 2020 Liste des problèmes mise à jour
1.7 11 juin 2020 Liste des problèmes mise à jour
1.8 27 janvier 2021 Liste des problèmes mise à jour