הערות שחרור אבטחה של Android 10

פורסם ב-20 באוגוסט 2019 | עודכן ב-27 בינואר 2021

הערות שחרור אבטחה של Android מכילות פרטים על פרצות אבטחה המשפיעות על מכשירי אנדרואיד אשר מטופלות כחלק מ-Android 10. מכשירי Android 10 עם רמת תיקון אבטחה של 2019-09-01 ואילך מוגנים מפני בעיות אלו (Android 10, כפי שפורסמו בתאריך ל-AOSP, יש רמת ברירת מחדל של תיקון אבטחה של 2019-09-01). כדי ללמוד כיצד לבדוק את רמת תיקון האבטחה של מכשיר, ראה כיצד לבדוק ולעדכן את גרסת ה-Android שלך .

שותפי Android מקבלים הודעה על כל הבעיות לפני הפרסום. תיקוני קוד מקור לבעיות אלו ישוחררו למאגר Android Open Source Project (AOSP) כחלק מהגרסה של Android 10.

הערכת חומרת הבעיות בהערות המהדורה הללו מבוססת על ההשפעה שייתכן שתהיה לניצול הפגיעות על מכשיר מושפע, בהנחה שהפלטפורמה וההקלה בשירות כבויים למטרות פיתוח או אם יעקפו בהצלחה.

לא היו לנו דיווחים על ניצול פעיל של לקוחות או שימוש לרעה בבעיות אלה שדווחו לאחרונה. עיין בסעיף ההפחתה של Android ו-Google Play Protect לפרטים על הגנות פלטפורמת האבטחה של Android ו-Google Play Protect, המשפרים את האבטחה של פלטפורמת Android.

הכרזות

  • הבעיות המתוארות במסמך זה מטופלות כחלק מ-Android 10. מידע זה ניתן לעיון ולשקיפות.
  • ברצוננו להודות ולהודות לקהילת מחקרי האבטחה על תרומתם המתמשכת לאבטחת המערכת האקולוגית של אנדרואיד.

שירותי אנדרואיד ו-Google מצמצמים

זהו סיכום של ההקלות המסופקות על ידי פלטפורמת האבטחה אנדרואיד והגנות שירות כגון Google Play Protect . יכולות אלו מפחיתות את הסבירות שניתן יהיה לנצל בהצלחה פרצות אבטחה באנדרואיד.

  • ניצול בעיות רבות באנדרואיד מקשה על ידי שיפורים בגרסאות חדשות יותר של פלטפורמת אנדרואיד. אנו ממליצים לכל המשתמשים לעדכן לגרסה העדכנית ביותר של אנדרואיד במידת האפשר.
  • צוות האבטחה של Android עוקב באופן פעיל אחר שימוש לרעה באמצעות Google Play Protect ומזהיר משתמשים לגבי יישומים שעלולים להזיק . Google Play Protect מופעל כברירת מחדל במכשירים עם שירותי Google Mobile , והוא חשוב במיוחד עבור משתמשים שמתקינים אפליקציות מחוץ ל-Google Play.

אנדרואיד 10 - פרטי פגיעות

הסעיפים למטה מספקים פרטים על פרצות אבטחה שתוקנו כחלק מ-Android 10. פגיעויות מקובצות תחת הרכיב שהן משפיעות וכוללות פרטים כגון CVE, הפניות משויכות, סוג הפגיעות וחומרת .

זמן ריצה של אנדרואיד

CVE הפניות סוּג חוּמרָה
CVE-2019-9290 A-113039724 EoP לְמַתֵן
CVE-2019-9429 A-110035108 EoP לְמַתֵן

מִסגֶרֶת

CVE הפניות סוּג חוּמרָה
CVE-2019-9262 א-111792351 RCE לְמַתֵן
CVE-2019-9256 A-111921829 RCE לְמַתֵן
CVE-2019-9280 A-119322269 EoP לְמַתֵן
CVE-2019-2216 A-38390530 EoP לְמַתֵן
CVE-2019-2089 A-116608833 EoP לְמַתֵן
CVE-2019-9288 A-111363077 EoP לְמַתֵן
CVE-2019-9384 A-120568007 EoP לְמַתֵן
CVE-2019-9269 A-36899497 EoP לְמַתֵן
CVE-2019-9378 A-124539196 EoP לְמַתֵן
CVE-2019-9380 A-123700098 EoP לְמַתֵן
CVE-2019-9407 A-112434609 EoP לְמַתֵן
CVE-2019-2088 א-143895055 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-2058 A-136089102 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9351 א-128599864 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9281 א-32748076 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9377 א-128599663 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9292 א-115384617 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9424 A-110941092 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9399 א-115635664 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9421 A-111215250 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9323 A-30770233 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9438 א-77821568 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9373 A-130173029 DoS לְמַתֵן
CVE-2019-9372 א-132782448 DoS לְמַתֵן

סִפְרִיָה

CVE הפניות סוּג חוּמרָה
CVE-2019-9423 A-110986616 EoP לְמַתֵן
CVE-2019-9459 A-79593569 EoP לְמַתֵן

מסגרת מדיה

CVE הפניות סוּג חוּמרָה
CVE-2019-9297 A-112890242 RCE לְמַתֵן
CVE-2019-9298 A-112892194 RCE לְמַתֵן
CVE-2019-9299 A-112663886 RCE לְמַתֵן
CVE-2019-9300 A-112661610 RCE לְמַתֵן
CVE-2019-9301 A-112663384 RCE לְמַתֵן
CVE-2019-9302 A-112661356 RCE לְמַתֵן
CVE-2019-9303 A-112661057 RCE לְמַתֵן
CVE-2019-9304 A-112662270 RCE לְמַתֵן
CVE-2019-9305 A-112661835 RCE לְמַתֵן
CVE-2019-9306 A-112661348 RCE לְמַתֵן
CVE-2019-9307 A-112661893 RCE לְמַתֵן
CVE-2019-9308 A-112661742 RCE לְמַתֵן
CVE-2019-9346 א-128433933 RCE לְמַתֵן
CVE-2019-9357 A-112662995 RCE לְמַתֵן
CVE-2019-9382 A-120874654 RCE לְמַתֵן
CVE-2019-9405 A-112890225 RCE לְמַתֵן
CVE-2019-9278 א-112537774 RCE לְמַתֵן
CVE-2020-0086 א-131859347 EoP לְמַתֵן
CVE-2019-9310 A-112891546 EoP לְמַתֵן
CVE-2019-9232 א-122675483 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9247 A-120426166 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9282 א-113211371 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9293 א-117661116 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9294 א-111764444 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9313 A-112005441 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9314 א-112329563 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9315 A-112326216 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9316 A-112052432 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9317 A-112052258 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9318 א-111764725 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9319 A-111762100 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9320 A-111761624 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9321 א-111208713 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9322 A-111128067 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9325 A-112001302 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9334 א-112859934 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9335 A-112328051 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9336 A-112326322 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9337 A-112204376 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9338 A-111762686 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9347 A-109891727 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9359 A-111407302 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9361 A-111762807 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9362 A-120426980 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9364 א-73364631 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9366 A-112052062 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9370 A-133880046 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9406 A-112552517 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9408 A-112380157 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9409 A-112272091 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9410 A-112204443 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9411 A-112204845 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9412 A-112006096 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9415 A-111805098 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9416 A-111804142 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9433 A-80479354 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9252 א-73339042 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9268 א-77474014 DoS לְמַתֵן
CVE-2020-0088 א-124389881 DoS לְמַתֵן
CVE-2019-9283 א-112663564 DoS לְמַתֵן
CVE-2019-9348 א-128431761 DoS לְמַתֵן
CVE-2019-9349 A-124330204 DoS לְמַתֵן
CVE-2019-9352 A-124253062 DoS לְמַתֵן
CVE-2019-9371 א-132783254 DoS לְמַתֵן
CVE-2019-9379 א-124329638 DoS לְמַתֵן
CVE-2019-9418 A-111450210 DoS לְמַתֵן
CVE-2019-9420 A-111272481 DoS לְמַתֵן

מערכת

CVE הפניות סוּג חוּמרָה
CVE-2019-9475 A-9496886 תְעוּדַת זֶהוּת גָבוֹהַ
CVE-2019-9363 A-123584306 RCE לְמַתֵן
CVE-2019-9365 א-109838537 RCE לְמַתֵן
CVE-2018-9425 א-73884967 EoP לְמַתֵן
CVE-2019-9463 א-113584607 EoP לְמַתֵן
CVE-2019-9291 A-112159179 EoP לְמַתֵן
CVE-2019-9386 A-122361874 EoP לְמַתֵן
CVE-2019-9375 א-129344244 EoP לְמַתֵן
CVE-2019-9238 A-121267042 EoP לְמַתֵן
CVE-2019-9257 A-113572342 EoP לְמַתֵן
CVE-2019-9258 A-113655028 EoP לְמַתֵן
CVE-2019-9259 א-113575306 EoP לְמַתֵן
CVE-2019-9263 א-73136824 EoP לְמַתֵן
CVE-2019-9266 A-119501435 EoP לְמַתֵן
CVE-2019-9295 א-36885811 EoP לְמַתֵן
CVE-2019-9309 א-117985575 EoP לְמַתֵן
CVE-2019-9350 A-129562815 EoP לְמַתֵן
CVE-2019-9358 A-120156401 EoP לְמַתֵן
CVE-2018-9489 א-77286245 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9473 א-115363533 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9474 A-79996267 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9440 א-37637796 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9277 A-68016944 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9233 A-122529021 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9234 א-122465453 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9235 A-122323053 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9236 A-122322613 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9237 A-121325979 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9239 A-121263487 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9240 A-121150966 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9241 A-121036603 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9242 A-121035878 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9243 A-120905706 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9244 A-120865977 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9246 A-120428637 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9249 A-120255805 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9250 A-120276962 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9251 A-120274615 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9253 א-109769728 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9260 א-113495295 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9265 א-37994606 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9272 A-11596047 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9284 A-111850706 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9287 א-78287084 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9289 א-79883824 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2018-9581 A-111698366 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9296 A-112162089 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9312 A-78288018 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9326 א-111215173 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9328 A-111895000 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9329 A-112917952 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9332 A-78286500 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9333 A-109753657 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9344 A-120845341 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9353 A-123024201 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9354 A-118148142 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9355 A-115903122 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9356 A-111699773 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9360 A-120610663 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9368 A-79883568 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9369 A-79995407 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9381 A-122677612 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9383 A-120843827 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9387 א-117569833 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9388 א-117567437 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9403 A-113512324 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9414 A-111893041 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9427 A-110166350 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9431 A-109755179 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9432 A-80546108 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9434 A-80432895 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9435 A-80146682 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9330 A-111214739 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9331 A-112272279 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9341 A-111214770 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9342 A-111214470 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9343 A-112050983 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9367 A-112106425 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9413 A-111935831 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9417 A-111450079 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9419 A-111407544 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9422 A-111214766 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2020-0236 א-79703353 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9279 A-110476382 DoS לְמַתֵן
CVE-2019-9285 א-111215315 DoS לְמַתֵן
CVE-2019-9286 A-111213909 DoS לְמַתֵן
CVE-2019-9311 א-79431031 DoS לְמַתֵן
CVE-2019-9327 A-112050583 DoS לְמַתֵן
CVE-2019-9462 א-91544774 DoS לְמַתֵן
CVE-2019-9389 א-117567058 DoS לְמַתֵן
CVE-2019-9390 א-117551475 DoS לְמַתֵן
CVE-2019-9393 א-116357965 DoS לְמַתֵן
CVE-2019-9394 א-116351796 DoS לְמַתֵן
CVE-2019-9395 א-116267405 DoS לְמַתֵן
CVE-2019-9396 א-115747155 DoS לְמַתֵן
CVE-2019-9397 א-115747410 DoS לְמַתֵן
CVE-2019-9398 א-115745406 DoS לְמַתֵן
CVE-2019-9400 A-115509589 DoS לְמַתֵן
CVE-2019-9401 א-115375248 DoS לְמַתֵן
CVE-2019-9402 A-115372550 DoS לְמַתֵן
CVE-2019-9404 A-112923309 DoS לְמַתֵן
CVE-2019-9425 A-110846194 DoS לְמַתֵן
CVE-2019-9430 A-109838296 DoS לְמַתֵן

ליבקסאק

ספריית אנדרואיד 9 libxaac סומנה כניסיונית והוסרה מייצור מבני Android כחלק מעלון האבטחה של אנדרואיד מנובמבר 2018 . ברצוננו להודות לחוקרים על ממצאיהם.

הבעיות שזוהו כוללות את מזהי ה-CVE הבאים: CVE-2019-2055, CVE-2019-2059, CVE-2019-2060, CVE-2019-2061, CVE-2019-2062, CVE-2019-2063, CVE-20649 , CVE-2019-2065, CVE-2019-2066, CVE-2019-2067, CVE-2019-2068, CVE-2019-2069, CVE-2019-2070, CVE-2019-2071, CVE-20219, CVE-20219, CVE-2069 -2019-2073, CVE-2019-2074, CVE-2019-2075, CVE-2019-2076, CVE-2019-2077, CVE-2019-2078, CVE-2019-2079, CVE-208019, CVE-2019,-CVE-2019-2077 -2081, CVE-2019-2082, CVE-2019-2083, CVE-2019-2084, CVE-2019-2085, CVE-2019-2086, CVE-2019-2087, CVE-2019-2139, , CVE-2019-2140, CVE-2019-2141, CVE-2019-2142, CVE-2019-2143, CVE-2019-2144, CVE-2019-2145, CVE-2019-2146, CVE-214019, CVE-214019 -2019-2148, CVE-2019-2149, CVE-2019-2150, CVE-2019-2151, CVE-2019-2152, CVE-2019-2153, CVE-2019-2154, CVE-25019, CVE-2019,-CVE-2019-2152 -2156, CVE-2019-2157, CVE-2019-2158, CVE-2019-2159, CVE-2019-2160, CVE-2019-2161, CVE-2019-2162, CVE-2019-2164, CVE-2163, , CVE-2019-2165, CVE-2019-2166, CVE-2019-2167, CVE-2019-2168, CVE-2019-2169, CVE-2019-2170, CV E-2019-2171, CVE-2019-2172, CVE-2019-9261, CVE-2019-9264, CVE-2019-9385 ו-CVE-2019-9391.

שאלות ותשובות נפוצות

סעיף זה עונה על שאלות נפוצות שעלולות להתרחש לאחר קריאת עלון זה.

1. כיצד אוכל לקבוע אם המכשיר שלי מעודכן כדי לטפל בבעיות אלו?

כדי ללמוד כיצד לבדוק את רמת תיקון האבטחה של מכשיר, ראה בדוק ועדכן את גרסת Android שלך .

לאנדרואיד 10, כפי ששוחרר ב-AOSP, יש רמת ברירת מחדל של תיקון אבטחה של 2019-09-01. מכשירי אנדרואיד עם אנדרואיד 10 ועם רמת תיקון אבטחה של 2019-09-01 ואילך מטפלים בכל הבעיות הכלולות בהערות שחרור אבטחה אלה.

2. מה המשמעות של הערכים בעמודה סוג ?
ערכים בעמודה סוג של טבלת פרטי הפגיעות מתייחסים לסיווג של פגיעות האבטחה.

נוֹטָרִיקוֹן הַגדָרָה
RCE ביצוע קוד מרחוק
EoP העלאת הפריבילגיה
תְעוּדַת זֶהוּת גילוי מידע
DoS מניעת שירות
לא סיווג אינו זמין

3. מה המשמעות של הערכים בעמודת הפניות ?

ערכים בעמודה הפניות של טבלת פרטי הפגיעות עשויים להכיל קידומת המזהה את הארגון שאליו שייך ערך ההתייחסות.

קידומת התייחסות
א- מזהה באג אנדרואיד

גרסאות

גִרְסָה תַאֲרִיך הערות
1.0 20 באוגוסט 2019 הערות שחרור אבטחה פורסמו.
1.1 21 באוגוסט 2019 התאמות קלות בטבלאות הפגיעות
1.2 17 בספטמבר 2019 עודכן תודות ורשימת בעיות
1.3 21 בנובמבר 2019 רשימת בעיות מעודכנת
1.4 12 בפברואר 2020 רשימת בעיות מעודכנת
1.5 26 בפברואר 2020 רשימת בעיות מעודכנת
1.6 11 במאי 2020 רשימת בעיות מעודכנת
1.7 11 ביוני 2020 רשימת בעיות מעודכנת
1.8 27 בינואר 2021 רשימת בעיות מעודכנת