Notes de version de sécurité Android 10

Publié le 20 août 2019 | Mis à jour le 27 janvier 2021

Ces notes de version de sécurité Android contiennent des détails sur les vulnérabilités de sécurité affectant les appareils Android qui sont traitées dans le cadre d'Android 10. Les appareils Android 10 avec un niveau de correctif de sécurité du 2019-09-01 ou ultérieur sont protégés contre ces problèmes (Android 10, tel que publié le AOSP, a un niveau de correctif de sécurité par défaut de 2019-09-01). Pour savoir comment vérifier le niveau de correctif de sécurité d'un appareil, consultez Comment vérifier et mettre à jour votre version d'Android .

Les partenaires Android sont informés de tous les problèmes avant la publication. Les correctifs de code source pour ces problèmes seront publiés dans le référentiel Android Open Source Project (AOSP) dans le cadre de la version Android 10.

L' évaluation de la gravité des problèmes dans ces notes de version est basée sur l'effet que l'exploitation de la vulnérabilité pourrait avoir sur un appareil affecté, en supposant que les atténuations de la plate-forme et du service sont désactivées à des fins de développement ou si elles sont contournées avec succès.

Nous n'avons eu aucun rapport d'exploitation ou d'abus actif de la part des clients de ces problèmes nouvellement signalés. Reportez-vous à la section Atténuations Android et Google Play Protect pour plus de détails sur les protections de la plate-forme de sécurité Android et Google Play Protect, qui améliorent la sécurité de la plate-forme Android.

Annonces

  • Les problèmes décrits dans ce document sont traités dans le cadre d'Android 10. Ces informations sont fournies à titre de référence et de transparence.
  • Nous tenons à remercier la communauté des chercheurs en sécurité pour leurs contributions continues à la sécurisation de l'écosystème Android.

Atténuations des services Android et Google

Il s'agit d'un résumé des mesures d'atténuation fournies par la plate- forme de sécurité Android et les protections de services telles que Google Play Protect . Ces fonctionnalités réduisent la probabilité que les vulnérabilités de sécurité puissent être exploitées avec succès sur Android.

  • L'exploitation de nombreux problèmes sur Android est rendue plus difficile par les améliorations apportées aux nouvelles versions de la plate-forme Android. Nous encourageons tous les utilisateurs à mettre à jour la dernière version d'Android dans la mesure du possible.
  • L'équipe de sécurité Android surveille activement les abus via Google Play Protect et avertit les utilisateurs des applications potentiellement dangereuses . Google Play Protect est activé par défaut sur les appareils avec Google Mobile Services et est particulièrement important pour les utilisateurs qui installent des applications en dehors de Google Play.

Android 10—Détails de la vulnérabilité

Les sections ci-dessous fournissent des détails sur les vulnérabilités de sécurité corrigées dans le cadre d'Android 10. Les vulnérabilités sont regroupées sous le composant qu'elles affectent et incluent des détails tels que le CVE, les références associées, le type de vulnérabilité et la gravité .

Exécution Android

CVE Les références Taper Gravité
CVE-2019-9290 A-113039724 EoP Modérer
CVE-2019-9429 A-110035108 EoP Modérer

Cadre

CVE Les références Taper Gravité
CVE-2019-9262 A-111792351 CRE Modérer
CVE-2019-9256 A-111921829 CRE Modérer
CVE-2019-9280 A-119322269 EoP Modérer
CVE-2019-2216 A-38390530 EoP Modérer
CVE-2019-2089 A-116608833 EoP Modérer
CVE-2019-9288 A-111363077 EoP Modérer
CVE-2019-9384 A-120568007 EoP Modérer
CVE-2019-9269 A-36899497 EoP Modérer
CVE-2019-9378 A-124539196 EoP Modérer
CVE-2019-9380 A-123700098 EoP Modérer
CVE-2019-9407 A-112434609 EoP Modérer
CVE-2019-2088 A-143895055 identifiant Modérer
CVE-2019-2058 A-136089102 identifiant Modérer
CVE-2019-9351 A-128599864 identifiant Modérer
CVE-2019-9281 A-32748076 identifiant Modérer
CVE-2019-9377 A-128599663 identifiant Modérer
CVE-2019-9292 A-115384617 identifiant Modérer
CVE-2019-9424 A-110941092 identifiant Modérer
CVE-2019-9399 A-115635664 identifiant Modérer
CVE-2019-9421 A-111215250 identifiant Modérer
CVE-2019-9323 A-30770233 identifiant Modérer
CVE-2019-9438 A-77821568 identifiant Modérer
CVE-2019-9373 A-130173029 DoS Modérer
CVE-2019-9372 A-132782448 DoS Modérer

Bibliothèque

CVE Les références Taper Gravité
CVE-2019-9423 A-110986616 EoP Modérer
CVE-2019-9459 A-79593569 EoP Modérer

Cadre média

CVE Les références Taper Gravité
CVE-2019-9297 A-112890242 CRE Modérer
CVE-2019-9298 A-112892194 CRE Modérer
CVE-2019-9299 A-112663886 CRE Modérer
CVE-2019-9300 A-112661610 CRE Modérer
CVE-2019-9301 A-112663384 CRE Modérer
CVE-2019-9302 A-112661356 CRE Modérer
CVE-2019-9303 A-112661057 CRE Modérer
CVE-2019-9304 A-112662270 CRE Modérer
CVE-2019-9305 A-112661835 CRE Modérer
CVE-2019-9306 A-112661348 CRE Modérer
CVE-2019-9307 A-112661893 CRE Modérer
CVE-2019-9308 A-112661742 CRE Modérer
CVE-2019-9346 A-128433933 CRE Modérer
CVE-2019-9357 A-112662995 CRE Modérer
CVE-2019-9382 A-120874654 CRE Modérer
CVE-2019-9405 A-112890225 CRE Modérer
CVE-2019-9278 A-112537774 CRE Modérer
CVE-2020-0086 A-131859347 EoP Modérer
CVE-2019-9310 A-112891546 EoP Modérer
CVE-2019-9232 A-122675483 identifiant Modérer
CVE-2019-9247 A-120426166 identifiant Modérer
CVE-2019-9282 A-113211371 identifiant Modérer
CVE-2019-9293 A-117661116 identifiant Modérer
CVE-2019-9294 A-111764444 identifiant Modérer
CVE-2019-9313 A-112005441 identifiant Modérer
CVE-2019-9314 A-112329563 identifiant Modérer
CVE-2019-9315 A-112326216 identifiant Modérer
CVE-2019-9316 A-112052432 identifiant Modérer
CVE-2019-9317 A-112052258 identifiant Modérer
CVE-2019-9318 A-111764725 identifiant Modérer
CVE-2019-9319 A-111762100 identifiant Modérer
CVE-2019-9320 A-111761624 identifiant Modérer
CVE-2019-9321 A-111208713 identifiant Modérer
CVE-2019-9322 A-111128067 identifiant Modérer
CVE-2019-9325 A-112001302 identifiant Modérer
CVE-2019-9334 A-112859934 identifiant Modérer
CVE-2019-9335 A-112328051 identifiant Modérer
CVE-2019-9336 A-112326322 identifiant Modérer
CVE-2019-9337 A-112204376 identifiant Modérer
CVE-2019-9338 A-111762686 identifiant Modérer
CVE-2019-9347 A-109891727 identifiant Modérer
CVE-2019-9359 A-111407302 identifiant Modérer
CVE-2019-9361 A-111762807 identifiant Modérer
CVE-2019-9362 A-120426980 identifiant Modérer
CVE-2019-9364 A-73364631 identifiant Modérer
CVE-2019-9366 A-112052062 identifiant Modérer
CVE-2019-9370 A-133880046 identifiant Modérer
CVE-2019-9406 A-112552517 identifiant Modérer
CVE-2019-9408 A-112380157 identifiant Modérer
CVE-2019-9409 A-112272091 identifiant Modérer
CVE-2019-9410 A-112204443 identifiant Modérer
CVE-2019-9411 A-112204845 identifiant Modérer
CVE-2019-9412 A-112006096 identifiant Modérer
CVE-2019-9415 A-111805098 identifiant Modérer
CVE-2019-9416 A-111804142 identifiant Modérer
CVE-2019-9433 A-80479354 identifiant Modérer
CVE-2019-9252 A-73339042 identifiant Modérer
CVE-2019-9268 A-77474014 DoS Modérer
CVE-2020-0088 A-124389881 DoS Modérer
CVE-2019-9283 A-112663564 DoS Modérer
CVE-2019-9348 A-128431761 DoS Modérer
CVE-2019-9349 A-124330204 DoS Modérer
CVE-2019-9352 A-124253062 DoS Modérer
CVE-2019-9371 A-132783254 DoS Modérer
CVE-2019-9379 A-124329638 DoS Modérer
CVE-2019-9418 A-111450210 DoS Modérer
CVE-2019-9420 A-111272481 DoS Modérer

Système

CVE Les références Taper Gravité
CVE-2019-9475 A-9496886 identifiant Haut
CVE-2019-9363 A-123584306 CRE Modérer
CVE-2019-9365 A-109838537 CRE Modérer
CVE-2018-9425 A-73884967 EoP Modérer
CVE-2019-9463 A-113584607 EoP Modérer
CVE-2019-9291 A-112159179 EoP Modérer
CVE-2019-9386 A-122361874 EoP Modérer
CVE-2019-9375 A-129344244 EoP Modérer
CVE-2019-9238 A-121267042 EoP Modérer
CVE-2019-9257 A-113572342 EoP Modérer
CVE-2019-9258 A-113655028 EoP Modérer
CVE-2019-9259 A-113575306 EoP Modérer
CVE-2019-9263 A-73136824 EoP Modérer
CVE-2019-9266 A-119501435 EoP Modérer
CVE-2019-9295 A-36885811 EoP Modérer
CVE-2019-9309 A-117985575 EoP Modérer
CVE-2019-9350 A-129562815 EoP Modérer
CVE-2019-9358 A-120156401 EoP Modérer
CVE-2018-9489 A-77286245 identifiant Modérer
CVE-2019-9473 A-115363533 identifiant Modérer
CVE-2019-9474 A-79996267 identifiant Modérer
CVE-2019-9440 A-37637796 identifiant Modérer
CVE-2019-9277 A-68016944 identifiant Modérer
CVE-2019-9233 A-122529021 identifiant Modérer
CVE-2019-9234 A-122465453 identifiant Modérer
CVE-2019-9235 A-122323053 identifiant Modérer
CVE-2019-9236 A-122322613 identifiant Modérer
CVE-2019-9237 A-121325979 identifiant Modérer
CVE-2019-9239 A-121263487 identifiant Modérer
CVE-2019-9240 A-121150966 identifiant Modérer
CVE-2019-9241 A-121036603 identifiant Modérer
CVE-2019-9242 A-121035878 identifiant Modérer
CVE-2019-9243 A-120905706 identifiant Modérer
CVE-2019-9244 A-120865977 identifiant Modérer
CVE-2019-9246 A-120428637 identifiant Modérer
CVE-2019-9249 A-120255805 identifiant Modérer
CVE-2019-9250 A-120276962 identifiant Modérer
CVE-2019-9251 A-120274615 identifiant Modérer
CVE-2019-9253 A-109769728 identifiant Modérer
CVE-2019-9260 A-113495295 identifiant Modérer
CVE-2019-9265 A-37994606 identifiant Modérer
CVE-2019-9272 A-11596047 identifiant Modérer
CVE-2019-9284 A-111850706 identifiant Modérer
CVE-2019-9287 A-78287084 identifiant Modérer
CVE-2019-9289 A-79883824 identifiant Modérer
CVE-2018-9581 A-111698366 identifiant Modérer
CVE-2019-9296 A-112162089 identifiant Modérer
CVE-2019-9312 A-78288018 identifiant Modérer
CVE-2019-9326 A-111215173 identifiant Modérer
CVE-2019-9328 A-111895000 identifiant Modérer
CVE-2019-9329 A-112917952 identifiant Modérer
CVE-2019-9332 A-78286500 identifiant Modérer
CVE-2019-9333 A-109753657 identifiant Modérer
CVE-2019-9344 A-120845341 identifiant Modérer
CVE-2019-9353 A-123024201 identifiant Modérer
CVE-2019-9354 A-118148142 identifiant Modérer
CVE-2019-9355 A-115903122 identifiant Modérer
CVE-2019-9356 A-111699773 identifiant Modérer
CVE-2019-9360 A-120610663 identifiant Modérer
CVE-2019-9368 A-79883568 identifiant Modérer
CVE-2019-9369 A-79995407 identifiant Modérer
CVE-2019-9381 A-122677612 identifiant Modérer
CVE-2019-9383 A-120843827 identifiant Modérer
CVE-2019-9387 A-117569833 identifiant Modérer
CVE-2019-9388 A-117567437 identifiant Modérer
CVE-2019-9403 A-113512324 identifiant Modérer
CVE-2019-9414 A-111893041 identifiant Modérer
CVE-2019-9427 A-110166350 identifiant Modérer
CVE-2019-9431 A-109755179 identifiant Modérer
CVE-2019-9432 A-80546108 identifiant Modérer
CVE-2019-9434 A-80432895 identifiant Modérer
CVE-2019-9435 A-80146682 identifiant Modérer
CVE-2019-9330 A-111214739 identifiant Modérer
CVE-2019-9331 A-112272279 identifiant Modérer
CVE-2019-9341 A-111214770 identifiant Modérer
CVE-2019-9342 A-111214470 identifiant Modérer
CVE-2019-9343 A-112050983 identifiant Modérer
CVE-2019-9367 A-112106425 identifiant Modérer
CVE-2019-9413 A-111935831 identifiant Modérer
CVE-2019-9417 A-111450079 identifiant Modérer
CVE-2019-9419 A-111407544 identifiant Modérer
CVE-2019-9422 A-111214766 identifiant Modérer
CVE-2020-0236 A-79703353 identifiant Modérer
CVE-2019-9279 A-110476382 DoS Modérer
CVE-2019-9285 A-111215315 DoS Modérer
CVE-2019-9286 A-111213909 DoS Modérer
CVE-2019-9311 A-79431031 DoS Modérer
CVE-2019-9327 A-112050583 DoS Modérer
CVE-2019-9462 A-91544774 DoS Modérer
CVE-2019-9389 A-117567058 DoS Modérer
CVE-2019-9390 A-117551475 DoS Modérer
CVE-2019-9393 A-116357965 DoS Modérer
CVE-2019-9394 A-116351796 DoS Modérer
CVE-2019-9395 A-116267405 DoS Modérer
CVE-2019-9396 A-115747155 DoS Modérer
CVE-2019-9397 A-115747410 DoS Modérer
CVE-2019-9398 A-115745406 DoS Modérer
CVE-2019-9400 A-115509589 DoS Modérer
CVE-2019-9401 A-115375248 DoS Modérer
CVE-2019-9402 A-115372550 DoS Modérer
CVE-2019-9404 A-112923309 DoS Modérer
CVE-2019-9425 A-110846194 DoS Modérer
CVE-2019-9430 A-109838296 DoS Modérer

Libxaac

La bibliothèque Android 9 libxaac a été marquée comme expérimentale et retirée des versions de production d'Android dans le cadre du bulletin de sécurité Android de novembre 2018 . Nous tenons à remercier les chercheurs pour leurs découvertes.

Les problèmes identifiés incluent les identifiants CVE suivants : CVE-2019-2055, CVE-2019-2059, CVE-2019-2060, CVE-2019-2061, CVE-2019-2062, CVE-2019-2063, CVE-2019-2064 , CVE-2019-2065, CVE-2019-2066, CVE-2019-2067, CVE-2019-2068, CVE-2019-2069, CVE-2019-2070, CVE-2019-2071, CVE-2019-2072, CVE -2019-2073, CVE-2019-2074, CVE-2019-2075, CVE-2019-2076, CVE-2019-2077, CVE-2019-2078, CVE-2019-2079, CVE-2019-2080, CVE-2019 -2081, CVE-2019-2082, CVE-2019-2083, CVE-2019-2084, CVE-2019-2085, CVE-2019-2086, CVE-2019-2087, CVE-2019-2138, CVE-2019-2139 , CVE-2019-2140, CVE-2019-2141, CVE-2019-2142, CVE-2019-2143, CVE-2019-2144, CVE-2019-2145, CVE-2019-2146, CVE-2019-2147, CVE -2019-2148, CVE-2019-2149, CVE-2019-2150, CVE-2019-2151, CVE-2019-2152, CVE-2019-2153, CVE-2019-2154, CVE-2019-2155, CVE-2019 -2156, CVE-2019-2157, CVE-2019-2158, CVE-2019-2159, CVE-2019-2160, CVE-2019-2161, CVE-2019-2162, CVE-2019-2163, CVE-2019-2164 , CVE-2019-2165, CVE-2019-2166, CVE-2019-2167, CVE-2019-2168, CVE-2019-2169, CVE-2019-2170, CV E-2019-2171, CVE-2019-2172, CVE-2019-9261, CVE-2019-9264, CVE-2019-9385 et CVE-2019-9391.

Questions et réponses courantes

Cette section répond aux questions courantes qui peuvent survenir après la lecture de ce bulletin.

1. Comment puis-je déterminer si mon appareil est mis à jour pour résoudre ces problèmes ?

Pour savoir comment vérifier le niveau de correctif de sécurité d'un appareil, consultez Vérifier et mettre à jour votre version d'Android .

Android 10, tel que publié sur AOSP, a un niveau de correctif de sécurité par défaut du 2019-09-01. Les appareils Android exécutant Android 10 et avec un niveau de correctif de sécurité de 2019-09-01 ou ultérieur résolvent tous les problèmes contenus dans ces notes de version de sécurité.

2. Que signifient les entrées de la colonne Type ?
Les entrées de la colonne Type du tableau des détails de la vulnérabilité font référence à la classification de la vulnérabilité de sécurité.

Abréviation Définition
CRE Exécution de code à distance
EoP Élévation de privilège
identifiant Divulgation d'information
DoS Déni de service
N / A Classement non disponible

3. Que signifient les entrées dans la colonne Références ?

Les entrées sous la colonne Références du tableau des détails de la vulnérabilité peuvent contenir un préfixe identifiant l'organisation à laquelle appartient la valeur de référence.

Préfixe Référence
UNE- ID de bogue Android

Versions

Version Date Remarques
1.0 20 août 2019 Notes de mise à jour de sécurité publiées.
1.1 21 août 2019 Ajustements mineurs aux tables de vulnérabilité
1.2 17 septembre 2019 Accusés de réception mis à jour et liste des problèmes
1.3 21 novembre 2019 Liste des problèmes mise à jour
1.4 12 février 2020 Liste des problèmes mise à jour
1.5 26 février 2020 Liste des problèmes mise à jour
1.6 11 mai 2020 Liste des problèmes mise à jour
1.7 11 juin 2020 Liste des problèmes mise à jour
1.8 27 janvier 2021 Liste des problèmes mise à jour