הערות גרסה לאבטחה של Android 10

פורסם ב -20 באוגוסט 2019 | עודכן ב -27 בינואר 2021

הערות מהדורה אלה של אבטחת אנדרואיד מכילות פרטי פגיעות אבטחה המשפיעות על מכשירי אנדרואיד אשר מטופלות במסגרת Android 10. מכשירי Android 10 עם רמת תיקון אבטחה של 2019-09-01 ואילך מוגנים מפני בעיות אלה (Android 10, כפי שפורסם ב- AOSP, בעל רמת תיקון אבטחה כברירת מחדל של 2019-09-01). כדי ללמוד כיצד לבדוק רמת תיקון האבטחה של מכשיר, לראות כיצד לבדוק ולעדכן את גרסת Android שלך .

שותפי אנדרואיד מקבלים הודעה על כל הבעיות לפני הפרסום. תיקוני קוד המקור לבעיות אלה ישוחררו למאגר פרויקט הקוד הפתוח של Android (AOSP) כחלק מהמהדורה של Android 10.

הערכת חומרת בעיות בנתון גרסה אלה מבוססות על ההשפעה שתהיה לניצול הפגיעות ואולי יצטרך על התקן מושפע, בהנחת הקלות הפלטפורמה ושירות כבויות למטרות פיתוח או אם עקפו בהצלחה.

לא היו לנו דיווחים על ניצול לקוחות פעיל או ניצול לרעה של בעיות אלה שדווחו לאחרונה. עיין אנדרואיד ו- Google Play קלת גן סעיף לפרטים על גינות פלטפורמת אבטחת אנדרואיד ו- Google Play להגן, אשר לשפר את האבטחה של פלטפורמת אנדרואיד.

הודעות

  • הנושאים המתוארים במסמך זה מטופלים כחלק מ- Android 10. מידע זה ניתן לעיון ושקיפות.
  • ברצוננו להודות ולהודות לקהילת מחקר האבטחה עבור תרומות המשיכה שלהם כלפי הבטחת סביבת Android.

הפרעות שירות אנדרואיד וגוגל

זהו סיכום של ההקלות שמספקות פלטפורמת אבטחת אנדרואיד גינות ושירות כגון Google Play גן . יכולות אלה מפחיתות את הסבירות שניתן לנצל בהצלחה פגיעויות אבטחה ב- Android.

  • הניצול לבעיות רבות באנדרואיד מתקשה על ידי שיפורים בגרסאות חדשות יותר של פלטפורמת האנדרואיד. אנו ממליצים לכל המשתמשים להתעדכן לגרסה העדכנית ביותר של אנדרואיד במידת האפשר.
  • צוות האבטחה של אנדרואיד פעיל מפקח על התעללות באמצעות Google Play גן והמזהיר משתמש על יישומים בעלי פוטנציאל מזיקים . Google Play הגן מופעלת כברירת מחדל בהתקנים עם שירותים של Google Mobile , והיא חשובה במיוחד עבור משתמשים אשר מתקינים אפליקציות מחוץ ל- Google Play.

Android 10 - פרטי פגיעות

הסעיפים הבאים מספקים פרטים על פגיעויות אבטחה קבוע כחלק פגיעויות 10. אנדרואיד מקובצים תחת הרכיב שהם משפיעים ולכלול פרטים כגון CVE, אזכור קשור, סוג של פגיעות , ואת חומרה .

זמן ריצה של אנדרואיד

CVE הפניות סוּג חוּמרָה
CVE-2019-9290 א -113039724 EoP לְמַתֵן
CVE-2019-9429 A-110035108 EoP לְמַתֵן

מִסגֶרֶת

CVE הפניות סוּג חוּמרָה
CVE-2019-9262 א -111792351 RCE לְמַתֵן
CVE-2019-9256 א -111921829 RCE לְמַתֵן
CVE-2019-9280 A-119322269 EoP לְמַתֵן
CVE-2019-2216 A-38390530 EoP לְמַתֵן
CVE-2019-2089 A-116608833 EoP לְמַתֵן
CVE-2019-9288 א -111363077 EoP לְמַתֵן
CVE-2019-9384 A-120568007 EoP לְמַתֵן
CVE-2019-9269 A-36899497 EoP לְמַתֵן
CVE-2019-9378 א -124539196 EoP לְמַתֵן
CVE-2019-9380 א -123700098 EoP לְמַתֵן
CVE-2019-9407 א -112434609 EoP לְמַתֵן
CVE-2019-2088 א -143895055 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-2058 א -136089102 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9351 A-128599864 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9281 A-32748076 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9377 A-128599663 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9292 A-115384617 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9424 A-110941092 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9399 A-115635664 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9421 A-111215250 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9323 A-30770233 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9438 A-77821568 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9373 A-130173029 DoS לְמַתֵן
CVE-2019-9372 א -132782448 DoS לְמַתֵן

סִפְרִיָה

CVE הפניות סוּג חוּמרָה
CVE-2019-9423 A-110986616 EoP לְמַתֵן
CVE-2019-9459 A-79593569 EoP לְמַתֵן

מסגרת תקשורתית

CVE הפניות סוּג חוּמרָה
CVE-2019-9297 A-112890242 RCE לְמַתֵן
CVE-2019-9298 A-112892194 RCE לְמַתֵן
CVE-2019-9299 א -112663886 RCE לְמַתֵן
CVE-2019-9300 א -112661610 RCE לְמַתֵן
CVE-2019-9301 א -112663384 RCE לְמַתֵן
CVE-2019-9302 א -112661356 RCE לְמַתֵן
CVE-2019-9303 א -112661057 RCE לְמַתֵן
CVE-2019-9304 A-112662270 RCE לְמַתֵן
CVE-2019-9305 א -112661835 RCE לְמַתֵן
CVE-2019-9306 א -112661348 RCE לְמַתֵן
CVE-2019-9307 א -112661893 RCE לְמַתֵן
CVE-2019-9308 א -112661742 RCE לְמַתֵן
CVE-2019-9346 A-128433933 RCE לְמַתֵן
CVE-2019-9357 A-112662995 RCE לְמַתֵן
CVE-2019-9382 A-120874654 RCE לְמַתֵן
CVE-2019-9405 א -112890225 RCE לְמַתֵן
CVE-2019-9278 א -112537774 RCE לְמַתֵן
CVE-2020-0086 א -131859347 EoP לְמַתֵן
CVE-2019-9310 א -112891546 EoP לְמַתֵן
CVE-2019-9232 א -122675483 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9247 A-120426166 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9282 A-113211371 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9293 A-117661116 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9294 א -111764444 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9313 A-112005441 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9314 א -112329563 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9315 א -112326216 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9316 א -112052432 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9317 א -112052258 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9318 א -111764725 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9319 א -111762100 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9320 א -111761624 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9321 A-111208713 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9322 א -111128067 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9325 א -112001302 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9334 א -112859934 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9335 א -112328051 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9336 א -112326322 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9337 A-112204376 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9338 א -111762686 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9347 א -109891727 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9359 A-111407302 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9361 א -111762807 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9362 A-120426980 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9364 A-73364631 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9366 א -112052062 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9370 A-133880046 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9406 א -112552517 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9408 א -112380157 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9409 א -112272091 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9410 A-112204443 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9411 A-112204845 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9412 A-112006096 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9415 A-111805098 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9416 A-111804142 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9433 A-80479354 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9252 A-73339042 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9268 A-77474014 DoS לְמַתֵן
CVE-2020-0088 A-124389881 DoS לְמַתֵן
CVE-2019-9283 א -112663564 DoS לְמַתֵן
CVE-2019-9348 A-128431761 DoS לְמַתֵן
CVE-2019-9349 א -124330204 DoS לְמַתֵן
CVE-2019-9352 A-124253062 DoS לְמַתֵן
CVE-2019-9371 א -132783254 DoS לְמַתֵן
CVE-2019-9379 A-124329638 DoS לְמַתֵן
CVE-2019-9418 A-111450210 DoS לְמַתֵן
CVE-2019-9420 א -111272481 DoS לְמַתֵן

מערכת

CVE הפניות סוּג חוּמרָה
CVE-2019-9475 A-9496886 תְעוּדַת זֶהוּת גָבוֹהַ
CVE-2019-9363 א -123584306 RCE לְמַתֵן
CVE-2019-9365 א -109838537 RCE לְמַתֵן
CVE-2018-9425 A-73884967 EoP לְמַתֵן
CVE-2019-9463 א -113584607 EoP לְמַתֵן
CVE-2019-9291 A-112159179 EoP לְמַתֵן
CVE-2019-9386 א -122361874 EoP לְמַתֵן
CVE-2019-9375 א -129344244 EoP לְמַתֵן
CVE-2019-9238 א -121267042 EoP לְמַתֵן
CVE-2019-9257 א -113572342 EoP לְמַתֵן
CVE-2019-9258 א -113655028 EoP לְמַתֵן
CVE-2019-9259 א -113575306 EoP לְמַתֵן
CVE-2019-9263 A-73136824 EoP לְמַתֵן
CVE-2019-9266 A-119501435 EoP לְמַתֵן
CVE-2019-9295 A-36885811 EoP לְמַתֵן
CVE-2019-9309 A-117985575 EoP לְמַתֵן
CVE-2019-9350 א -129562815 EoP לְמַתֵן
CVE-2019-9358 A-120156401 EoP לְמַתֵן
CVE-2018-9489 A-77286245 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9473 A-115363533 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9474 A-79996267 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9440 A-37637796 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9277 A-68016944 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9233 א -122529021 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9234 א -122465453 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9235 א -122323053 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9236 א -122322613 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9237 א -121325979 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9239 א -121263487 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9240 א -121150966 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9241 א -121036603 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9242 א -121035878 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9243 A-120905706 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9244 A-120865977 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9246 A-120428637 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9249 A-120255805 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9250 A-120276962 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9251 A-120274615 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9253 א -109769728 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9260 א -113495295 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9265 A-37994606 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9272 A-11596047 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9284 א -111850706 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9287 A-78287084 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9289 א -79883824 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2018-9581 א -161698366 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9296 A-112162089 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9312 A-78288018 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9326 א -121215173 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9328 A-111895000 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9329 א -112917952 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9332 A-78286500 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9333 A-109753657 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9344 A-120845341 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9353 א -123024201 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9354 A-118148142 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9355 A-115903122 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9356 א -111699773 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9360 A-120610663 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9368 א -79883568 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9369 A-79995407 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9381 א -122677612 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9383 A-120843827 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9387 א -117569833 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9388 א -117567437 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9403 א -113512324 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9414 א -111893041 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9427 A-110166350 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9431 א -109755179 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9432 A-80546108 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9434 A-80432895 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9435 A-80146682 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9330 א -111214739 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9331 א -112272279 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9341 א -111214770 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9342 A-111214470 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9343 א -112050983 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9367 A-112106425 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9413 א -111935831 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9417 A-111450079 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9419 A-111407544 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9422 א -121214766 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2020-0236 A-79703353 תְעוּדַת זֶהוּת לְמַתֵן
CVE-2019-9279 A-110476382 DoS לְמַתֵן
CVE-2019-9285 א -121215315 DoS לְמַתֵן
CVE-2019-9286 א -121213909 DoS לְמַתֵן
CVE-2019-9311 A-79431031 DoS לְמַתֵן
CVE-2019-9327 א -112050583 DoS לְמַתֵן
CVE-2019-9462 A-91544774 DoS לְמַתֵן
CVE-2019-9389 א -117567058 DoS לְמַתֵן
CVE-2019-9390 א -117551475 DoS לְמַתֵן
CVE-2019-9393 A-116357965 DoS לְמַתֵן
CVE-2019-9394 A-116351796 DoS לְמַתֵן
CVE-2019-9395 A-116267405 DoS לְמַתֵן
CVE-2019-9396 A-115747155 DoS לְמַתֵן
CVE-2019-9397 A-115747410 DoS לְמַתֵן
CVE-2019-9398 A-115745406 DoS לְמַתֵן
CVE-2019-9400 A-115509589 DoS לְמַתֵן
CVE-2019-9401 A-115375248 DoS לְמַתֵן
CVE-2019-9402 A-115372550 DoS לְמַתֵן
CVE-2019-9404 A-112923309 DoS לְמַתֵן
CVE-2019-9425 A-110846194 DoS לְמַתֵן
CVE-2019-9430 א -109838296 DoS לְמַתֵן

ליבקסאק

ספריית libxaac 9 אנדרואיד נתבעה הניסיון והוסרה מייצור אנדרואיד בונה כחלק עלון אבטחת אנדרואיד בנובמבר 2018 . ברצוננו להודות לחוקרים על ממצאיהם.

הנושאים שזוהו כוללים את מזהי CVE הבאים: CVE-2019-2055, CVE-2019-2059, CVE-2019-2060, CVE-2019-2061, CVE-2019-2062, CVE-2019-2063, CVE-2019-2064 , CVE-2019-2065, CVE-2019-2066, CVE-2019-2067, CVE-2019-2068, CVE-2019-2069, CVE-2019-2070, CVE-2019-2071, CVE-2019-2072, CVE -2019-2073, CVE-2019-2074, CVE-2019-2075, CVE-2019-2076, CVE-2019-2077, CVE-2019-2078, CVE-2019-2079, CVE-2019-2080, CVE-2019 -2081, CVE-2019-2082, CVE-2019-2083, CVE-2019-2084, CVE-2019-2085, CVE-2019-2086, CVE-2019-2087, CVE-2019-2138, CVE-2019-2139 , CVE-2019-2140, CVE-2019-2141, CVE-2019-2142, CVE-2019-2143, CVE-2019-2144, CVE-2019-2145, CVE-2019-2146, CVE-2019-2147, CVE -2019-2148, CVE-2019-2149, CVE-2019-2150, CVE-2019-2151, CVE-2019-2152, CVE-2019-2153, CVE-2019-2154, CVE-2019-2155, CVE-2019 -2156, CVE-2019-2157, CVE-2019-2158, CVE-2019-2159, CVE-2019-2160, CVE-2019-2161, CVE-2019-2162, CVE-2019-2163, CVE-2019-2164 , CVE-2019-2165, CVE-2019-2166, CVE-2019-2167, CVE-2019-2168, CVE-2019-2169, CVE-2019-2170, CV E-2019-2171, CVE-2019-2172, CVE-2019-9261, CVE-2019-9264, CVE-2019-9385 ו- CVE-2019-9391.

שאלות ותשובות נפוצות

חלק זה עונה על שאלות נפוצות שעלולות להתרחש לאחר קריאת עלון זה.

1. כיצד אוכל לקבוע אם המכשיר שלי מעודכן כדי לטפל בבעיות אלה?

כדי ללמוד כיצד לבדוק רמת תיקון האבטחה של מכשיר, לראות לבדוק ולעדכן את גרסת Android שלך .

ל- Android 10, כפי שפורסם ב- AOSP, יש רמת תיקון אבטחה ברירת מחדל של 2019-09-01. מכשירי אנדרואיד שבהם פועל Android 10 וברמת תיקון אבטחה של 2019-09-01 ואילך מטפלים בכל הבעיות הכלולות בהערות המהדורה האבטחה הללו.

2. מה לעשות הערכים הממוצעים בעמודת סוג?
לערכים בעמודת הסוג של פגיעות מפרט התייחסות שולחן הסיווג של פגיעות האבטחה.

נוֹטָרִיקוֹן הַגדָרָה
RCE ביצוע קוד מרחוק
EoP העלאת פריבילגיה
תְעוּדַת זֶהוּת גילוי מידע
DoS מניעת שירות
N/A הסיווג אינו זמין

3. מה לעשות הערכים הממוצעים בעמודת הפניות?

רשום תחת עמודת ההפניות של שולחן פרטי פגיעות עלולים להכיל קידומת זיהוי הארגון שאליו לערך הייחוס שייך.

קידומת התייחסות
א- מזהה באג לאנדרואיד

גרסאות

גִרְסָה תַאֲרִיך הערות
1.0 20 באוגוסט 2019 פורסמו הערות מהדורה לאבטחה.
1.1 21 באוגוסט 2019 התאמות קלות לטבלאות הפגיעות
1.2 17 בספטמבר 2019 עדויות אישורים ורשימת סוגיות מעודכנות
1.3 21 בנובמבר 2019 רשימת בעיות מעודכנת
1.4 12 בפברואר 2020 רשימת סוגיות מעודכנת
1.5 26 בפברואר 2020 רשימת בעיות מעודכנת
1.6 11 במאי 2020 רשימת בעיות מעודכנת
1.7 11 ביוני 2020 רשימת סוגיות מעודכנת
1.8 27 בינואר 2021 רשימת סוגיות מעודכנת